您的当前位置：首页正文

Performance of an Intrusion Detection System under Different Techniques

来源：二三娱乐

Ｊｏｕｒｎａｌ　ｏｆＣｏｍｍｕｎｉｃａｔｉｏｎ　ａｎｄ　Ｃｏｍｐｕｔｅｒ　１２（２Ｏｌ５、１４６．１５４　ｄｏｉ：１０．１７２６５／１５４８—７７０９／２０１５．０３．００７　ＩＮ　Ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ａｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　ｕｎｄｅｒ　Ｄｉｆｅｒｅｎｔ　Ｔｅｃｈｎｉｑｕｅｓ　Ｓａｄｅｑ　Ａ１Ｈａｍｏｕｚ　Ｈｅａｄ　ｏｆＣｏｍｐｕｍｒ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｙｓｔｅｍｓ　Ｄｅｐａｒｔｍｅｎｔ，Ｆａｃｕｌｔｙ　ｏｆＩｎｆｏｒｍａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ，Ｍｉｄｄｌｅ　Ｅａｓｔ　Ｕｎｉｖｅｒｓｉｙｔ，Ａｍｍａｎ　１１８３１　Ｊｏｒｄａｎ　Ａｂｓｔｒａｃｔ：Ｎｏｗａｄａｙｓ，ｗｉｔｈ　ｔｈｅ　ｒａｐｉｄ　ｇｒｏｗｔｈ　ｉｎ　ｔｅｃｈｎｏｌｏｇｉｅｓ，ｗｈｉｃｈ　ｄｅｐｅｎｄ　ｏｎ　ｃｏｍｐｕｔｅｒｓ　ｓｙｓｔｅｍｓ　ａｎｄ　ｎｅｔｗｏｒｋｓｔｈｒｅａｔｓ　ａｒｅ　ａｌｓｏ　，ｉｎｃｒｅａｓｉｎｇ　ｅｎｏｒｍｏｕｓｌｙ．Ｓｏ，ａ　ｈｕｇｅ　ｎｕｍｂｅｒ　ｏｆ　ａｐｐｒｏａｃｈｅｓ　ｈａｖｅ　ｂｅｅｎ　ｄｅｖｅｌｏｐｅｄ　ｔｏ　ｐｒｏｔｅｃｔ　ｓｙｓｔｅｍｓ　ａｎｄ　ｎｅｔｗｏｒｋｓ　ａｎｄ　ｔｏ　ｉｎｃｒｅａｓｅ　ｔｈｅ　ｓｅｃｕｒｉｔｙ　ｓｉｎｃｅ　ｉｔ　ｉｓ　ａｎ　ｅｓｓｅｎｔｉａｌ　ｒｅｑｕｉｒｅｍｅｎｔ　ｉｎ　ｔｈｅ　ｍａｊｏｒｉｙｔ　ｏｆ　ｔｈｅ　ａｐｐｌｉｃａｔｉｏｎｓ．Ｉｎ　ｔｈｉｓ　ｐａｐｅｒ，ａ　ｓｔａｔｉｓｔｉｃａｌ　Ｎａｉｖｅ　Ｂａｙｅｓｉａｎ　ｍｅｔｈｏｄ　ｉｓ　ａｐｐｌｉｅｄ　ｉｎ　ａｌｌ　ＩＤＳ　ｓｙｓｔｅｍ　ｕｓｉｎｇ　ｄｉｆｆｅｒｅｎｔ　ｓｃｅｎａｒｉｏｓ．Ｔｈｅ　ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ｔｈｅ　ＩＤＳ　ｉｓ　ｍｅａｓｕｒｅｄ　ｔｈｒｏｕｇｈ　ｅｘｐｅｒｉｍｅｎｔｓ　ｕｓｉｎｇ　ＮＳＬ．．ＫＤＤ　ｄａｔａｓｅｔ．　Ｋｅｙｗｏｒｄｓ：Ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｓｙｓｔｅｍ，ａｔｔａｃｋ　ｔｒｅｎｄｓ，ｓｅｃｕｒｉｙ，ａｔｔｔａｃｋｅｒ，ｔｅｃｈｎｉｑｕｅｓ，ｎｅｔｗｏｒｋ　ｔｈｒｅａｔｓ，ｎｅｔｗｏｒｋ　ｄｅｆｅｎｓｅ　１．Ｉｎｔｒｏｄｕｃｔｉｏｎ　Ｐｒｅｖｉｏｕｓｌｙ，ｓｅｖｅｒａ１　ｒｅｓｅａｒｃｈｅｒｓ　ｈａｖｅ　ｄｅｓｃｒｉｂｅｄ　ｔｈｅ　ｄｅｓｉｇｎ　ｏｆ　ＩＤＳｓ　ｔｏ　ｏｆｆｅｒ　ｄｅｔａｉｌｓ　ａｎｄ　ｄｅｓｃｒｉｐｔｉｏｎｓ　ｏｆ　ｔｈｅ　ｍａｉｎ　ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ　ｏｆ　ｔｈｏｓｅ　ｓｙｓｔｅｍｓ　ｔｈａｔ　ａｒｅ　ａｐｐｌｉｃａｂｌｅ　ａｎｄ　ｒｅｌｅｖａｎｔ　ｉｎ　ｔｈｅ　ｄｅｔｅｃｔｉｏｎ　ｏｆ　ａｔｔａｃｋｓ．Ｔｈｅ　ｄｅｔｅｃｔｏｒ　ｉｓ　ａ　ｃｏｍｂｉｎａｔｉｏｎ　ｏｆ　ｂｏｔｈ　ｔｈｅ　ａ．ｂｏｘ　ａｎｄ　ｄ—ｂｏｘ．　Ｔｈｅ　ＩＤＳ　ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ　ｃａｎ　ｂｅ　ｒｅｐｒｅｓｅｎｔｅｄ　ｕｓｉｎｇ　ｔｗｏ　ｒｅｌａｔｉｖｅｌｙ　ｓｉｍｐｌｅ　ｐａｒａｍｅｔｅｒｓ．Ｔｈｅ　ｆｉｒｓｔ　ｐａｒａｍｅｔｅｒ　ｉｎｄｉｃａｔｅｓ　ａ　ｇｅｎｅｒａｌ　ｃｈａｒａｃｔｅｒｉｓｔｉｃ　ｏｆ　ｔｈｅ　ｓｙｓｔｅｍ，ｓｕｃｈ　ａｓ　ｔｈｅ　ｃａｐａｂｉｌｉｔｙ　ｔｏ　ｃｏｎｃｅｒｎ　ａｃｃｅｐｔｅｄ　ｅｘｐｒｅｓｓｉｏｎ　ｄｅｓｉｇｎ　ｏｆ　ＩＤＳｓ　ｄｅｐｅｎｄｓ　ｏｎ　ｔｈｅ　ｅｘｐｅｒｉｅｎｃｅｓ，ｗｈｉｃｈ　ａｒｅ　ｒｅｓｕｌｔｅｄ　ｆｒｏｍ　ｔｈｅ　ｉｍｐｒｏｖｅｍｅｎｔ　ａｎｄ　ｕｓｅ　ｏｆ　ｔｈｏｓｅ　ｓｙｓｔｅｍｓ　ｉｎ　ｖａｒｉｏｕｓ　ｆｉｅｌｄｓ　ａｎｄ　ｏｎ　ｔｈｅ　ａｎａｌｙｓｉｓ　ｏｆ　ｓｅｖｅｒａｌ　ｍａｔｃｈｉｎｇ　ｏｎ　ｉｎｆｏｒｍａｔｉｏｎ．Ｈｏｗｅｖｅｒ，ｔｈｉｓ　ｐａｒａｍｅｔｅｒ　ｈａｓ　ｎｏｔ　ｔｈｅ　ａｂｉｌｉｔｙ　ｔｏ　ｉｄｅｎｔｉｆｙ　ｔｈｅ　ｓｃｏｐｅ　ｗｈｅｒｅ　ｉｔ　ｉｓ　ｏｂｔａｉｎａｂｌｅ．Ｉｎ　ｏｔｈｅｒ　ｗｏｒｄｓ，ｉｔ　ｃａｎｎｏｔ　ｄｉｓｃｏｖｅｒ　ｔｈｅ　ｔｙｐｅ　ｏｆ　ｉｎｆｏｒｍａｔｉｏｎ　ｅｘｐｒｅｓｓｉｏｎ　ｍａｔｃｈｉｎｇ　ｔｈａｔ　ｓｈｏｕｌｄ　ｂｅ　ｔｙｐｅｓ　ｏｆａｔｔａｃｋｓ［１］．　Ｓｏｍｅ　ｏｆ　ＩＤＳ　ｃｈａｒａｃｔｅｒｉｓｔｉｅｓ　ａｒｅ：ｉｎｆｏｒｍａｔｉｏｎ，ｗｈｉｃｈ　ｕｓｅｄ　ｉｎ　ｔｈｅ　ａｎａｌｙｓｉｓ，ｔｈｅ　ｌｅｖｅｌ　ｏｆ　ｔｈｅ　ｉｎｔｅｒｐｒｅｔａｔｉｏｎ　ａｎｄ　ｖｅｒｉｆｉｃａｔｉｏｎ　ｏｆ　ｐｒｏｔｏｃｏｌｓ　ａｎｄ　ｍｅｔｈｏｄｓ　ｕｓｅｄ　ｉｎ　ｃｏｎｃｅｒｎｅｄ．Ｔｈｅ　ｓｅｃｏｎｄ　ｐａｒａｍｅｔｅｒ　ｈａｓ　ｔｈｅ　ａｂｉｌｉｔｙ　ｔｏ　ｄｉｓｃｏｖｅｒ　ｔｈｅ　ＩＤＳ　ｓｃｏｐｅ，ｗｈｉｃｈ　ｄｅｔｅｒｍｉｎｅｓ　ｔｈｅ　ｖａｌｉｄｉｔｙ　ｏｆ　ｔｈｅ　ｓｙｓｔｅｍ　ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ［４］．　Ｔｈｅ　ＩＤＳ　ｓｃｏｐｅ，ｗｈｉｃｈ　ｉｓ　ａｎ　ｉｔｅｒａｔｉｖｅ　ｍｅｔｈｏｄ　ｔｈａｔ　ｃｏｎｓｉｓｔｓ　ｏｆ　ｔｈｒｅｅ　ｈｉｇｈ—ｌｅｖｅｌ　ｓｃｏｐｅｓ，ｉｓ　ｅｘｐｌｏｒｅｄ．Ｔｈｏｓｅ　ｓｃｏｐｅｓ　ａｒｅ　ｎｅｔｗｏｒｋｉｎｇ，　ｕｓｅｒ　ａｎｄ　ｈｏｓｔ．　Ｂｏｔｈ　ｄｉｓｃｏｖｅｒｉｎｇ　ａｃｔｉｖｉｔｉｅｓ　ｔｈａｔ　ｍａｙ　ｓｉｇｎｉｆｙ　ａＲａｃｋｓ．Ｔｈｏｓｅ　ｓｙｓｔｅｍｓ　ｒａｎｇｅ　ｆｒｏｍ　ｓｉｍｐｌｅ　ｔｏ　ｃｏｍｐｌｅｘ　ｏｎｅｓ　ａｎｄ　ｄｉｆｆｅｒ　ｉｎ　ｔｈｅｉｒ　ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ【２］．　Ｉｎ　Ｒｅｆ．［１】，ａ　ｍｏｄｅｌ　ｏｆ　ＩＤＳ　ｔｈａｔ　ｃｏｎｓｉｓｔｓ　ｏｆ　ｓｅｎｓｏｒｓ　ａｎｄ　ｄｅｔｅｃｔｏｒｓ　ｗａｓ　ｄｅｓｃｒｉｂｅｄ．Ｔｈｅ　ｕｓｅｄ　ｓｅｎｓｏｒｓ　ｔｏ　ｎｅｔｗｏｒｋｉｎｇ　ａｎｄ　ｈｏｓｔ　ａｒｅ　ｄｉｖｉｄｅｄ　ｉｎｔｏ　ｓｅｖｅｒａｌ　ｌｏｗ－ｌｅｖｅｌ　ｓｃｏｐｅｓ，ｌｉｋｅ　ａｐｐｌｉｃａｔｉｏｎ　ｌａｙｅｒ　ａｎｄ　ｐｒｏｃｅｓｓ，ｗｈｉｌｅ　ｔｈｅ　ｓｉｇｎｉｆｙ　ｔｈｅ　ｅ－ｂｏｘ　ｏｆ　ｔｈｅ　ＣＩＤＦＡ（Ｃｏｍｍｏｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｆｒａｍｅｗｏｒｋ　Ａｒｃｈｉｔｅｃｔｕｒｅ）ａｎｄ　ｔｏ　ｒｅｃｏｖｅｒ　ｉｎｆｏｒｍａｔｉｏｎ　ｆｒｏｍ　ａ　ｄａｔａ　ｓｏｕｒｃｅ　ｗｅｒｅ　ｄｅｓｃｒｉｂｅｄ　ｉｎ　Ｒｅｆ　ｕｓｅｒ　ｓｃｏｐｅ　ｉｓ　ｔｈｅ　ｈｕｍａｎ　ｗｈｏ　ｕｓｅｓ　ｔｈｅ　Ｉｎｓ［４］．Ｓｅｖｅｒａｌ　ｗｏｒｋｓ　ａｂｏｕｔ　ｔｈｅ　ａｎａｌｙｓｉｓ　ｏｆ　ＩＤＳｓ　ｗｅｒｅ　ｐｕｂｌｉｓｈｅｄ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｄｅｔｅｃｔ　ａＲａｃｋｓ．Ｔｈｏｓｅ　ｗｏｒｋｓ　ｃｌａｓｓｉｆｙ　ｔｈｅ　ＩＤＳｓ，　ＩＤ　ａｎｄ￣ｔａｃｋｓ．０ｎｅ　ｏｆ　ｔｈｏｓｅ　ｗｏｒｋｓ　ｉｓ　ｔｈｅ　ＭＡＦＴＩＡ　『３１．Ｔｈｉｓ　ｒｅｃｏｖｅｒｅｄ　ｉｎｆｏｒｍａｔｉｏｎ　ｉｓ　ｉｎｓｅｒｔｅｄ　ｔｈｅｎ　ｔｏ　ｔｈｅ　ｄｅｔｅｃｔｏｒ．Ｒｅｓｅａｒｃｈｅｒｓ　ｉｎ　Ｒｅｆ．［１】ｅｘｐｌｏｒｅｄ　ｔｈａｔ　ｔｈｅ　Ｃ０ｒｒｅｓｐ０ｎｄｉｎｇ　ａｕｔｈｏｒ：Ｓａｄｅｑ　ＡｌＨａｍｏｕ￣Ｐｈ．Ｄ．，ｒｅｓｅａｒｃｈ　ｐｒｏｊｅｃｔ　ｔｈａｔ　ｕｓｅｓ　ｓｅｖｅｒａｌ　ｃｏｎｃｅｐｔｓ，ｍｏｄｅｌｓ　ａｎｄ　ｔｅｒｍｉｎｏｌｏｇｉｅｓ　ｔｈａｔ　ｄｅｒｉｖｅｄ　ｆｒｏｍ　ｒｅｌｉａｂｌｅ　ｉｆｅｌｄｓ［５，６］．　Ｎｅｔｗｏｒｋ　ｔｈｒｅａｔｓ　ｃａｎ　ｂｅ　ｐｅｒｓｏｎｓ，ｅｖｅｎｔｓ　ｏｒ　ｏｂｊｅｃｔｓ，　ｗｈｉｃｈ　ｃａｎ　ｃａｕｓｅ　ｄａｍａｇｅｓ　ｉｎ　ａ　ｎｅｔｗｏｒｋ．Ｔｈｒｅａｔｓ　ａｌｓｏ　ｉｆｅｌｄｓ：Ｉｎｔｅｒｎｅｔ，Ｅ—ｂｕｓｉｎｅｓｓ　ａｎｄ　Ｅ－ｇｏｖｅｒｎｍｅｎｔ．Ｅ－ｍａｉｌ：　ｓａｄｅｑｈａｍｏｕｚ＠ｇｍａｉｌ．ｃｏｍ．　Ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ａｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　ｕｎｄｅｒ　Ｄｉｆｅｒｅｎｔ　Ｔｅｃｈｎｉｑｕｅｓ　１４７　ｃａｎ　ｂｅ　ａｃｃｉｄｅｎｔａｌ，ｓｕｃｈ　ａｓ　ｅｒｒｏｒｓ　ｉｎ　ｃａｌｃｕｌａｔｉｏｎｓ　ｏｒ　ｍａｌｉｃｉｏｕｓ，ｓｕｃｈ　ａｓ　ｄａｔａ　ｉｎｔｅｎｄｅｄ　ｍｏｄｉｆｉｃａｔｉｏｎ．　Ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｔｈｒｅａｔｓ　ａｒｅ　ｄｉｖｉｄｅｄ　ｉｎｔｏ　ｔｗｏ　ｍａｉｎ　ｔｙｐｅｓ：ｉｎｔｅｍａｌ　ａｎｄ　ｅｘｔｅｒｎａｌ　ｔｈｒｅａｔｓ．Ｔｈｅ　ｉｎｔｅｒｎａｌ　ｔｈｒｅａｔｓ　ｈａｐｐｅｎ　ｂｙ　ａ　ｐｅｒｓｏｎ　ｗｈｏ　ｈａｓ　ａ　ｐｒｅ—ｄｅｆｉｎｅｄ　ａｃｃｅｓｓ　ｔｏ　ｔｈｅ　ｎｅｔｗｏｒｋ．Ｔｈｉｓ　ａｃｃｅｓｓ　ｃａｎ　ｂｅ　ａｎ　ａｃｃｏｕｎｔ　ｏｒ　ｐｈｙｓｉｃａｌ　ａｃｃｅｓｓ．Ｏｎ　ｔｈｅ　ｏｔｈｅｒ　ｈａｎｄ，ｔｈｅ　ｅｘｔｅｍａｌ　ｔｈｒｅａｔｓ　ｈａｐｐｅｎ　ｂｙ　ｐｅｒｓｏｎｓ　ｗｈｏ　ｈａｖｅ　ｎｏ　ｐｒｅ－ｄｅｆｉｎｅｄ　ａｃｃｅｓｓｅｓ　ｔｏ　ｔｈｅ　ｎｅｔｗｏｒｋ．Ｔｈｏｓｅ　ｔｈｒｅａｔｓ　ａｒｅ　ｒｅｓｕｌｔｅｄ　ｆｒｏｍ　ｔｈｅ　ｉｎｔｅｒｎｅｔ　ｏｒ　ａｃｃｅｓｓ　ｓｅｒｖｅｒｓ［７，８］．　Ｔｈｅｒｅ　ａｒｅ　ｓｅｖｅｒａｌ　ｔｙｐｅｓ　ｏｆ　ａｔｔａｃｋ　ｔｒｅｎｄｓ，ｓｕｃｈ　ａｓ：　ｔｈｒｅａｔ　ａｃｔｉｖｉｔｙ　ｔｒｅｎｄｓ，ｖｕｌｎｅｒａｂｉｌｉｔｙ　ｔｒｅｎｄｓ，ｍａｌｉｃｉｏｕｓ　ｃｏｄｅ　ｔｒｅｎｄｓ，ｆｒａｕｄ　ａｃｔｉｖｉｔｙ　ｔｒｅｎｄｓ　ａｎｄ　ｐｈｉｓｈｉｎｇ　ａｃｔｉｖｉｙｔ　ｔｒｅｎｄｓ．Ｖｕｌｎｅｒａｂｉｌｉｙｔ　ｉｓ　ｔｈｅ　ｗｅａｋｎｅｓｓ　ｉｎ　ａ　ｎｅｔｗｏｒｋ　ｔｈａｔ　ａｌｌｏｗｓ　ａＲａｃｋｅｒ　ｔｏ　ｃｏｏｐｅｒａｔｅ　ｔｈｅ　ａｃｃｅｓｓｉｂｉｌｉｔｙ　ａｎｄ　ｉｎｔｅｇｒｉｔｙ　ｏｆ　ｔｈｉｓ　ｎｅｔｗｏｒｋ．Ｍａｌｉｃｉｏｕｓ　ｃｏｄｅ　ｉｓ　ａ　ｗｉｄｅ　ｇｒｏｕｐ　ｏｆ　ｓｏｆｔｗａｒｅ　ｔｈｒｅａｔｓ　ｔｈａｔ　ａｔｔａｃｋ　ｎｅｔｗｏｒｋｓ　ａｎｄ　ｓｙｓｔｅｍｓ．Ｔｈｅ　ｍｏｓｔ　ｃｏｍｐｌｉｃａｔｅｄ　ｔｈｒｅａｔｓ　ｔｙｐｅｓ　ａｒｅ　ｏｂｔａｉｎａｂｌｅ　ｂｙ　ｔｈｅ　ｍａｌｉｃｉｏｕｓ　ｃｏｄｅ，ｗｈｉｃｈ　ｕｓｅｓ　ｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ　ｉｎ　ｎｅｔｗｏｒｋｓ．Ａｎｙ　ｃｏｄｅ　ｔｈａｔ　ｃｈａｎｇｅｓ，　ｏｂｌｉｔｅｒａｔｅｓ　ｏｒ　ｔａｋｅｓ　ｄａｔａ　ｐｅｒｍｉｔｓ　ｉｌｌｅｇａｌ　ａｃｃｅｓｓ，　ｄａｍａｇｅｓ　ａ　ｎｅｔｗｏｒｋ　ａｎｄ／ｏｒ　ｒｅｓｕｌｔｓ　ｉｎ　ｓｅｖｅｒａ１　ｔｈｉｎｓ　ｕｎｒｅｌａｔｅｄ　ｆｏｒ　ｕｓｅｒｓ『９］．　Ｐｈｉｓｈｉｎｇ　ｒｅｐｒｅｓｅｎｔｓ　ｄａｔａ　ｆｒｏｍ　ｐｅｒｓｏｎｓ，ｇｒｏｕｐｓ　ｏｒ　ｏｒｇａｎｉｚａｔｉｏｎｓ　ｗｉｔｈ　ｔｈｅ　ｕｓｅ　ｏｆ　ａ　ｓｐｅｃｉｉｆｃ　ｂｒａｎｄ．　Ｐｈｉｓｈｉｎｇ　ａｔｔａｃｋｅｒｓ　ｇｅｔ　ｓｅｖｅｒａｌ　ｓｅｎｓｉｔｉｖｅ　ｐｅｒｓｏｎａｌ　ｄａｔａ　ｏｆ　ｕｓｅｒｓ．Ｔｈｅｙ　ｎｅｅｄ　ｆａｔａｌｉｔｉｅｓ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｏｆｆｅｒ　ｔｈｅｉｒ　ｍａｉｎ　ｑｕａｌｉｉｆｃａｔｉｏｎｓ．Ｆｒａｕｄ　ｉｓ　ｔｈｅ　ｕｎａｕｔｈｏｒｉｚｅｄ　ｏｒ　ｉｌｌｅｇａｌ　ｕｓｅ　ｂｙ　ａｔｔａｃｋｅｒｓ　ｏｆ　ｓｏｍｅ　ｄａｔａ　ｔｈａｔ　ａｒｅ　ｒｅｌａｔｅｄ　ｔｏ　ａ　ｓｐｅｃｉｉｆｅｄ　ｐｅｒｓｏｎ【１０］．　Ｎｅｔｗｏｒｋ　ｄｅｆｅｎｃｅ　ｉｓ　ｔｈｅ　ａｃｔｉｏｎｓ　ｔａｋｅｎ　ｔｏ　ｍｏｎｉｔｏｒ，　ｐｒｏｔｅｃｔ，ａｎａｌｙｓｅ，ｄｅｔｅｃｔ，ａｎｄ　ｒｅｓｐｏｎｄ　ｔｏ　ｕｎａｕｔｈｏｒｉｚｅｄ　ａｃｔｉｖｉｔｉｅｓ　ｉｎ　ｉｎｆｏｒｍａｔｉｏｎ　ｓｙｓｔｅｍｓ　ａｎｄ　ｃｏｍｐｕｔｅｒ　ｎｅｔｗｏｒｋｓ．Ｓｅｖｅｒａｌ　ｓｙｓｔｅｍｓ　ａｒｅ　ｕｓｅｄ　ｉｎ　ｔｈｅ　ｄｅｆｅｎｃｅ　ｏｆ　ｎｅｔｗｏｒｋｓ　ａｇａｉｎｓｔ　ａｔｔａｃｋｓ．Ｔｈｅ　ｆｉｒｓｔ　ｍｅｔｈｏｄ　ｏｆ　ｐｒｏｔｅｃｔｉｏｎ　ｉｓ　ｔｈｅ　ＩＤＳ．ＩＤＳｓ　ｈａｖｅ　ｔｈｅ　ａｂｉｌｉｔｙ　ｔｏ　ｄｅｔｅｃｔ　ｓｅｖｅｒａｌ　ｔｙｐｅｓ　ｏｆ　ａＲａｃｋｓ　ｂｙ　ｍｏｎｉｔｏｒｉｎｇ　ｎｅｔｗｏｒｋｓ．　Ａｎｏｔｈｅｒ　ｐｒｏｔｅｃｔｉｏｎ　ｍｅｔｈｏｄ　ｉｓ　ｔｈｅ　ｆｉｒｅｗａｌｌ，ｗｈｉｃｈ　ｉｓ　ｏｎｅ　ｏｆ　ｔｈｅ　ｍｏｓｔ　ｕｓｅｄ　ｄｅｆｅｎｃｅ　ｄｅｖｉｃｅｓ　ｔｈａｔ　ｒａｎｇｅ　ｆｒｏｍ　ｐｅｒｓｏｒｍｅｌ　ｉｆｒｅｗａｌｌ　ｔｏ　ａｒｒａｙ　ｏｎｅｓ．Ｆｉｒｅｗａｌｌｓ　ａｒｅ　ｕｔｉｌｉｚｅｄ　ｉｎ　ｔｈｅ　ｐｒｏｔｅｃｔｉｏｎ　ｏｆ　ｌａｒｇｅ　ｎｅｔｗｏｒｋｓ　ｉｎ　ｌａｒｇｅ　ｏｒｇａｎｉｚａｔｉｏｎｓ．Ｔｈｅｙ　ａｒｅ　ｕｔｉｌｉｚｅｄ　ｔｏ　ｄｉｓｔｉｎｇｕｉｓｈ　ｂｅｔｗｅｅｎ　ｎｅｔｗｏｒｋｓ　ｖｉａ　ｕｔｉｌｉｚｉｎｇ　ｓｅｖｅｒａｌ　ｒｕｌｅｓ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｄｅｃｉｄｅ　ｔｈｅ　ａｌｌｏｗａｂｌｅ　ｃｏｎｎｅｃｔｉｏｎｓ．Ａｎｏｔｈｅｒ　ｐｒｏｔｅｃｔｉｏｎ　ｍｅｔｈｏｄ　ｉｓ　ｔｈｅ　ｅｎｃｒｙｐｔｉｏｎ，ｗｈｉｃｈ　ｉｓ　ｕｓｅｄ　ｔｏ　ｈｉｄｅ　ｄａｔａ　ｕｓｉｎｇ　ａ　ｓｅｃｒｅｔ　ａｌｇｏｒｉｔｈｍ．Ｔｈｏｓｅ　ｄａｔａ　ａｒｅ　ｔｈｅｎ　ｄｅｃｒｙｐｔｅｄ　ｏｎｌｙ　ｂｙ　ａ　ｐｒｅ－ｄｅｆｉｎｅｄ　ｓｅｃｒｅｔ　ｋｅｙ．Ｉｎ　ｔｈｉｓ　ｗａｙ，ａｔｔａｃｋｅｒｓ　ｃａｎｎｏｔ　ｒｅａｃｈ　ｔｈｅｓｅ　ｄａｔａ．Ａｎｏｔｈｅｒ　ｄｅｆｅｎｃｅ　ｍｅｔｈｏｄ　ｉｓ　ｔｈｅ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ，ｗｈｉｃｈ　ｉｓ　ｓｉｍｉｌａｒ　ｔｏ　ｔｈｅ　ｅｎｃｒｙｐｔｉｏｎ　ｏｎｅ．Ｉｎ　ｔｈｉｓ　ｔｅｃｈｎｉｑｕｅ，ｍｅｓｓａｇｅｓ　ａｒｅ　ｓｅｎｔ　ｂｅｔｗｅｅｎ　ａ　ｃｌｉｅｎｔ　ａｎｄ　ｎｅｔｗｏｒｋ　ａｃｃｅｓｓ　ｒｏｕｔｅｒ　ｂｙ　ａ　ｐｒｏｔｏｃｏｌ　ａｓ　ａ　ｃａｒｒｉｅｒ　ｉｎ　ａｎ　ａｕｔｈｅｎｔｉｃａｔｅｄ　ｗａｙ　ｗｈｅｒｅ　ａｔｔａｃｋｅｒｓ　ｃａｎｎｏｔ　ｒｅａｃｈ　ｔｈｏｓｅ　ｍｅｓｓａｇｅｓ．Ａｆｔｅｒ　ｔｈｅ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｐｒｏｃｅｓｓ，　ｔｈｅ　ｃｌｉｅｎｔ　ｉｓ　ｄｅｆｉｎｅｄ　ａｓ　ａ　ＭＡＣ（ｍｅｄｉａ　ａｃｃｅｓｓ　ｃｏｎｔｒｏ１）　ａｄｄｒｅｓｓ　ｔｈａｔ　ｃａｎ　ａｃｃｅｓｓ　ｔｈｅ　ｎｅｔｗｏｒｋ　ａｎｄ　ａｎ　ＡＰ（ａｃｃｅｓｓ　ｐｏｉｎｔ），ｗｈｉｃｈ　ｉｓ　ｄｅｆｉｎｅｄ　ａｌｓｏ　ａｓ　ａ　ＭＡＣ　ａｄｄｒｅｓｓ　ｗｉｔｈ　ｔｈｅ　ｓａｍｅ　ｃｌｉｅｎｔ［１　１，１２］．　Ｔｈｅ　ｌａｓｔ　ｄｅｆｅｎｃｅ　ｍｅｔｈｏｄ　ｉｓ　ｔｈｅ　ｐｈ）　ｓｉｃａｌ　ｓｅｃｕｒｉｔｙ，　ｗｈｉｃｈ　ａｓｓｉｓｔｓ　ｉｎ　ｔｈｅ　ｅｖａｌｕａｔｉｏｎ　ａｎｄ　ｕｎｄｅｒｓｔａｎｄｉｎｇ　ｏｆ　ｓｅｖｅｒａｌ　ｒｉｓｋｓ　ｗｈｉｃｈ　ｉｎ　ｔｕｒｎ　ｆａｃｉｌｉｔａｔｅｓ　ｔａｋｉｎｇ　ｃｏｒｒｅｃｔｉｖｅ　ａｃｔｉｏｎｓ．Ｉｔ　ｉｓ　ｔｈｅ　ｐｈｙｓｉｃａｌ　ｐｒｏｔｅｃｔｉｏｎ　ｌｅｖｅｌ　ｔｈａｔ　ｓｕｒｒｏｕｎｄｓ　ｔｈｅ　ｎｅｉｇｈｂｏｕｒｉｎｇ　ｔｈｅ　ｉｎｔｅｎｄｅｄ　ｃｏｖｅｒａｇｅ　ｒｅｇｉｏｎ　ｗｉｔｈ　ｔｈｅ　ｐｒｏｐｏｓｅｄ　ｌｅｖｅｌ　ｏｆ　ｓｅｃｕｒｉｙｔ　ａｓ　ｗｅｌｌ　ａｓ　ｔｈｒｅａｔ　ｍｏｄｅｌ【１３］．　Ｇｅｎｅｒａｌ　ｉｎｔｒｏｄｕｃｔｉｏｎ　ｏｆ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｓｙｓｔｅｍｓ　ｉｓ　ｄｉｓｃｕｓｓｅｄ；Ｓｅｃｔｉｏｎ　２　ｏｆｆｅｒｓ　ａｎ　ｏｖｅｒｖｉｅｗ　ｏｆ　ＩＤＳｓ．　Ｓｅｃｔｉｏｎ　３　ｄｉｓｃｕｓｓｅｓ　ｔｈｅ　ＩＤＳ　ｃｌａｓｓｉｆｉｃａｔｉｏｎ　ａｎｄ　ｆｉｌｔｅｒｉｎｇ　Ｓｅｃｔｉｏｎ　４　ａｎａｌｙｓｅｓ　ｔｈｅ　ｓｙｓｔｅｍ　ｍｏｄｅｌ　ｏｆ　ＩＤＳ　ｕｓｉｎｇ　Ｎａｉｖｅ　ｔｅｃｈｎｉｑｕｅ，ｔｈｅ　ｅｖａｌｕａｔｉｏｎ　ａｎｄ　ｔｈｅ　ｃｏｍｐａｒｉｓｏｎ　ｂｅｔｗｅｅｎ　ｔｈｅ　ｐｒｏｐｏｓｅｄ　ｓｙｓｔｅｍｓ　ｓｅｃｔｉｏｎ　ｗｉｔｈ　ｄｉｆｆｅｒｅｎｔ　ｆｅａｔｕｒｅｓ　ａｒｅ　ｐｒｅｓｅｎｔｅｄ　ｉｎ　Ｓｅｃｔｉｏｎ　５　ａｎｄ　ｃｏｎｃｌｕｓｉｏｎ　ｉｓ　ｇｉｖｅｎ　ｉｎ　Ｓｅｃｔｉｏｎ　６．　２．Ｂａｃｋｇｒｏｕｎｄ　ＩＤＳｓ　ａｒｅ　ｄｉｖｉｄｅｄ　ｉｎｔｏ　ｔｗｏ　ｇｒｏｕｐｓ：ＮＩＤＳ（Ｎｅｔｗｏｒｋ　ＩＤＳ、ａｎｄ　ＨＩＤＳ（Ｈｏｓｔ　ＩＤＳ）．Ｔｈｅ　ＮＩＤＳ　ｍｏｎｉｔｏｒｓ　ｔｈｅ　ｂｅｈａｖｉｏｕｒ　ｏｆ　ｈｔｅ　ｓｙｓｔｅｍ．ｗｈｉｌｅ　ｔｈｅ　ＨＩＤＳ　ｍｏｎｉｔｏｒｓ　ｔｈｅ　ｃａｌｌｓ　ｏｆ　ｔｈｅ　ｓｙｓｔｅｍ．Ｆｏｒ　ｔｈｅ　ＮＩＤＳ．ｔｈｅ　ａｃｔｉｖｉｔｉｅｓ　ｏｆ　ｔｈｅ　ｎｅｔｗｏｒｋ　ａｒｅ　ｉｎｄｅｐｅｎｄｅｎｔ　ｏｎ　ｓｅｖｅｒａ１　ｐｏｒｔｓ．Ｒａｎｄｏｍ　Ｄｒｏｊｅｃｔｉｏｎ　ｓｋｅｔｃｈｅｓ　ａｒｅ　ｕｓｅｄ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｄｅｃｒｅａｓｅ　ｔｈｅ　ｄｉｍｅｎｓｉｏｎａｌｉｙｔ　ｏｆ　ｉｎｆｏｒｍａｔｉｏｎ　ｗｉｔｈ　ｔｈｅ　ｕｓｅ　ｏｆ　ｍｕｌｔｉ．．ｒｅｓｏｌｕｔｉｏｎ　ｎｏｎ．．Ｇａｕｓｓｉａｎ　ｍａｒｇｉｎａｌ　ｄｉｓｔｒｉｂｕｔｉｏｎ　ｉｎ　１４８　Ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ａｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　ｕｎｄｅｒ　Ｄｉｆｅｒｅｎｔ　Ｔｅｃｈｎｉｑｕｅｓ　ｏｒｄｅｒ　ｔｏ　ｆｉｎｄ　ｏｕｔ　ｔｈｅ　ａｂｎｏｒｍａｌｉｔｉｅｓ　ａｃｒｏｓｓ　ｓｅｖｅｒａｌ　ｌｅｖｅｌｓ　ｏｆ　ａｇｇｒｅｇａｔｉｏｎ［１４，１　５］．Ｔｈｅ　ｅｎｔｒｏｐｙ　ｂａｓｅｄ　ｍｅｔｈｏｄ　ｗａｓ　ｕｓｅｄ　ｉｎ　ｔｈｅ　ｗｈｏｌｅ　ｎｅｔｗｏｒｋ　ｔｒａｆｉｆｃ［１　６］．　Ｂｏｔｈ　ｔｈｅ　ｓｔａｔｉｓｔｉｃａｌ　ｔｅｓｔｓ　ａｎｄ　ｔｈｅ　ｓｕｂｓｐａｃｅ　ｔｅｃｈｎｉｑｕｅｓ，　ｗｈｉｃｈ　ｓｕｐｐｏｓｅ　ｔｈａｔ　ｔｈｅ　ｃｏｎｎｅｃｔｉｏｎ　ｆｅａｔｕｒｅｓ　ａｒｅ　ｎｏｒｍａｌｌｙ　ｄｉｓｔｉｒｂｕｔｅｄ，ｗｅｒｅ　ｕｓｅｄ［１　７，１　８】．　ＮＩＤＳ　ａｒｅ　ｗｉｄｅｌｙ　ｕｓｅｄ　ａｓ　ｔｈｅ　ｌａｓｔ　ｄｅｆｅｎｃｅ　１ｉｎｅ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ａｌｌｏｗ　ｓｅｖｅｒａｌ　ｅｖｅｎｔ　ｒｅｓｐｏｎｓｅｓ　ｗｈｅｎ　ｔｈｅ　ｉｎｔｒｕｓｉｏｎ　ａｖｏｉｄａｎｃｅ　ｍｅｃｈａｎｉｓｍｓ　ａｒｅ　ｎｏｔ　ｅｆｆｅｃｔｉｖｅ．　Ｔｈｉｓ　ｓｙｓｔｅｍ　ｃｏｍｐａｒｅｓ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｔｒａｆｉｆｃ　ｗｉｔｈ　ａ　ｋｎｏｗｎ　ｄａｔａｂａｓｅ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｄｅｔｅｃｔ　ｔｈｅ　ｕｎｗａｎｔｅｄ　ｔｒａｆｉｆｃｓ．Ｔｈｅ　ｍａｉｎ　ｂｅｎｅｆｉｔｓ　ｏｆ　ＮＩＤＳ　ａｒｅ：ｉｔｓ　ｅａｓｅ　ｕｓｅ　ａｎｄ　ｆｅｗ　ｎｕｍｂｅｒｓ　ｏｆ　ｇｅｎｅｒａｔｅｄ　ｆａｌｓｅ　ａｌａｒｍｓ．Ｉｎ　ｃｏｎｔｒａｓｔ，　ＮｌＤＳ　ｃａｎｎｏｔ　ｄｅｔｅｃｔ　ａｌｌ　ｔｙｐｅｓ　ｏｆ　ａｔｔａｃｋｓ　ｉｎ　ａｎ　ｅｆｆｅｃｌｉｖｅ　ｗａｙ．Ｓｏｍｅ　ｏｆｔｈｏｓｅ　ａＲａｃｋｓ　ａｒｅ：Ｕ２Ｒ，Ｉ　Ｌ【７］．　Ｔｈｅ　ｍｏｓｔ　ｃｏｍｍｏｎ　ｙｔｐｅｓ　ｏｆ　ａｔｔａｃｋｓ　ａｒｅ＂ＤＯＳ，Ｕ２Ｒ，　Ｉ　Ｌ　ａｎｄ　ｐｒｏｂｅ　ａｔｔａｃｋｓ【１９］．　ＤｏＳ（Ｄｅｎｉａｌ　ｏｆ　ｓｅｒｖｉｃｅ）ａｔｔａｃｋｅｒｓ　ｕｓｅ　ｏｂｔａｉｎａｂｌｅ　ｏｒ　ｕｎｏｂｔａｉｎａｂｌｅ　ｍｅｍｏｒｙ　ｓｏｕｒｃｅｓ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｃｏｎｔｒｏｌ　ｒｅｑｕｉｒｅｍｅｎｔｓ　ｏｒ　ｔｏ　ｉｇｎｏｒｅ　ｒｉｇｈｔｓ　ｏｆ　ｕｓｅｒｓ　ｆｒｏｍ　ｓｅｒｖｉｃｅ，　ｓｏｍｅ　ｏｆ　ｔｈｏｓｅ　ａｔｔａｃｋｅｒｓ　ａｒｅ　ＳＹＮ　ｌｆｏｏｄ，ｎｅｐｔｕｎｅ，ｂａｃｋ，　ｓｍｕｒｆ，ｌａｎｄ　ａｎｄ　ｔｅａｒｄｒｏｐ．　Ｕ２Ｒ　ｒｕｓｅｒ　ｔｏ　ｒｏｏｔ）ａｔｔａｃｋｅｒｓ　ｕｓｅ　ａｎ　ａｃｃｏｕｎｔ　ｏｆ　ａ　ｓｙｓｔｅｍ　ｕｓｅｒ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｒｅａｌｉｚｅ　ｒｏｏｔ　ａｃｃｅｓｓ　ｔｏ　ｔｈｅ　ｒｅｑｕｉｒｅｄ　ｓｙｓｔｅｍ　ａｓ　ｔｈｅ　ｕｓｅｒ　ｐｒｉｖｉｌｅｇｅ（ｅ．ｇ．，ｂｕｆｆｅｒ　ｏｖｅｒｆｌｏｗ）．　Ｒ２Ｌ（ｒｅｍｏｔｅ　ｔｏ　ｌｏｃａ１）ａｔｔａｃｋｅｒｓ　ｓｅｎｄ　ｓｅｖｅｒａ１　ｐａｃｋｅｔｓ　ｔｏ　ｔｈｅ　ｓｙｓｔｅｍ　ｗｉｔｈｏｕｔ　ｈａｖｉｎｇ　ａｎ　ａｃｃｏｕｎｔ　ｏｎ　ｔｈｉｓ　ｓｙｓｔｅｍ（ｅ．ｇ．，ｐａｓｓｗｏｒｄ　ｇｕｅｓｓｉｎｇ）・　Ｐｒｏｂｅ　ａｔｔａｃｋｅｒｓ　ｆｉｎｄ　ｏｕｔ　ｉｎｆｏｒｍａｔｉｏｎ　ｏｒ　ｒｅｃｏｇｎｉｚｅｄ　ｔｈｒｅａｔｓ．Ａｔｔａｃｋｅｒｓ　ｃａｎ　ｅａｓｉｌｙ　ｍａｋｅ　ａｎ　ａｔｔａｃｋ　ｗｉｔｈ　ｔｈｅ　ｕｓｅ　ｏｆ　ｔｈｉｓ　ｉｎｆｏｒｍａｔｉｏｎ（ｅ．ｇ．，ｐｉｎｇ　ｓｗｅｅｐ，ｐｏｒｔ　ｓｃａｎ）．　Ｔｈｅ　ＨＩＤＳ　ｗｏｒｋｓ　ｏｎ　ｄｉｓｃｏｖｅｒｉｎｇ　ｔｈｅ　ｓｙｓｔｅｍ　ｃａｌｌｓ．　Ｔｈｏｓｅ　ｗｏｒｋｓ　ａｒｅ　ｄｉｖｉｄｅｄ　ｉｎｔｏ　ｔｗｏ　ｇｒｏｕｐｓ：ｓｅｑｕｅｎｃｅ　ｂａｓｅｄ　ｗｏｒｋｓ　ａｎｄ　ｆｅａｔｕｒｅ　ｂａｓｅｄ　ｗｏｒｋｓ．Ｔｈｅ　ｓｅｑｕｅｎｃｅ　ｂａｓｅｄ　ｗｏｒｋｓ　ｄｅｐｅｎｄ　ｏｎ　ｔｈｅ　ｅｖｅｎｔｓ　ｃｈｒｏｎｏｌｏｇｉｃａｌ　ｏｒｄｅｒｓ，ｗｈｉｌｅ　ｔｈｅ　ｓｅｃｏｎｄ　ｗｏｒｋｓ　ｃｏｎｓｉｄｅｒ　ｔｈｅ　ｃａｌｌｓ　ａｓ　ｉｎｄｅｐｅｎｄｅｎｔ　ｉｎｆｏｒｍａｔｉｏｎ　ｅｌｅｍｅｎｔｓ．Ｉｎ　Ｒｅ￡［２０］，　ｉｎｆｏｒｍａｔｉｏｎ　ｗａｓ　ｓｉｍｐｌｉｉｆｅｄ　ｂｙ　ｃｒｅａｔｉｎｇ　ａ　ｄａｔａｂａｓｅ　ｓｔｏｒｉｎｇ　ｃａｌｌｓ　ｓｕｂｓｅｑｕｅｎｃｅ　ａｎｄ　ｔｈｅｎ　ｅｘａｍｉｎｅｄ　ｔｈｅｍ．Ｉｎ　ＲＬｅｆ．【８１，ｔｈｅ　ｒｉｃｈｅｒ　ｇｒｏｕｐ　ｏｆａｔｔｒｉｂｕｔｅｓ　ｗａｓ　ａｓｓｕｍｅｄ　ｔｏ　ｂｅ　ａ　ｒｅｔｕｒｎ　ｖａｌｕｅ　ｗｈｅｒｅ　ｉｎｆｌｕｅｎｃｅｓ　ａｒｅ　ｒｅｌａｔｅｄ　ｔｏ　ｔｈｅ　ｓｙｓｔｅｍ　ｃａｌｌｓ．　ＨＩＤＳ　ｉｓ　ｕｓｅｄ　ｉｎ　ｔｈｅ　ｄｅｔｅｃｔｉｏｎ　ｏｆ　ｉｎｔｒｕｓｉｏｎｓ　ｖｉａ　ｅｘａｍｉｎｉｎｇ　ｓｅｖｅｒａｌ　ｃｏｍｐｕｔｉｎｇ　ａｃｔｉｖｉｔｉｅｓ　ｍｏｄｅｌｓ，ｌｉｋｅ　ｔｈｅ　ＣＰＵ　ｕｓａｇｅ　ａｎｄ　ｍｅｍｏｒｙ．ＨＩＤＳ　ａｎａｌｙｓｅｓ　ｔｈｅ　ｓｙｓｔｅｍ　ｓｅｔｔｉｎｇｓ，ｓｙｓｔｅｍ　ｃａｌｌｓ，ｌｏｃａｌ　ｌｏｇ　ｉｎｓｐｅｃｔｉｏｎｓ　ａｎｄ　ｍｏｒｅ．Ｉｔ　ｉｓ　ｕｓｅｄ　ｗｉｄｅｌｙ　ｄｕｅ　ｔｏ　ｉｔｓ　ｅｆｆｅｃｔｉｖｅｎｅｓｓ　ｉｎ　ｔｈｅ　ｄｅｔｅｃｔｉｏｎ　ｏｆ　ｋｎｏｗｎ　ａｔｔａｃｋｓ．Ｏｎ　ｔｈｅ　ｏｔｈｅｒ　ｈａｎｄ，ｔｈｉｓ　ｓｙｓｔｅｍ　ｉｓ　ｎｏｔ　ｅｆｆｅｃｔｉｖｅ　ｉｎ　ｔｈｅ　ｄｅｔｅｃｔｉｏｎ　ｏｆ　ｎｅｗ　ａｔｔａｃｋｓ　【２１１．　Ｂｏｔｈ　ＮＩＤＳ　ａｎｄ　ＨＩＤＳ　ｄｉｆｆｅｒ　ｒｆｏｍ　ｅａｃｈ　ｏｔｈｅｒ，ｂｕｔ　ｉｎ　ｔｈｅ　ｓａｍｅ　ｔｉｍｅ，ｂｏｔｈ　ａｒｅ　ｃｏｍｐｌｅｍｅｎｔ　ｔｏ　ｅａｃｈ　ｏｔｈｅｒ．Ｉｎ　ｏｔｈｅｒ　ｗｏｒｄｓ，ａ　ｒｅａｌ　ｓｅｃｕｒｅｄ　ｅｎｖｉｒｏｎｍｅｎｔ　ｎｅｅｄｓ　ｔｈｅ　ｕｓｅ　ｏｆｂｏｔｈ　ｓｙｓｔｅｍｓ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｏｆｆｅｒ　ａ　ｆｏｒｃｅｆｕｌ　ｓｙｓｔｅｍ　ｈｔａｔ　ｉｓ　ｃｏｎｓｉｄｅｒｅｄ　ａｓ　ｔｈｅ　ｆｏｕｎｄａｔｉｏｎ　ｆｏｒ　ｍｏｎｉｔｏｒｉｎｇ　ａｎｄ　ｄｅｔｅｃｔｉｎｇ　ｍｉｓｕｓｅｓ．Ｔｈｉｓ　ｃｏｍｂｉｎａｔｉｏｎ　ｃａｎ　ｆｉｌｔｅｒ　ａｌｅｒｔｓ　ａｓ　ｗｅｌｌ　ａｓ　ｎｏｔｉｆｉｃａｔｉｏｎｓ　ｉｎ　ａ　ｐｅｒｆｅｃｔ　ｗａｙ，ｗｈｉｃｈ　ｉｎ　ｔｕｒｎ　ｈｅｌｐｓ　ｉｎ　ｃｏｎｔｒｏｌｌｉｎｇ　ａｎｄ　ｒｅａｃｔｉｎｇ　ｔｏ　ｍｉｓｕｓｅｓ．　Ｔｈｅ　ｍａｉｎ　ｔｈｒｅｅ　ｔｙｐｅｓ　ｏｆ　ｄｅｔｅｃｔｉｏｎ　ｍｅｔｈｏｄｏｌｏｇｉｅｓ　ａｒｅ：ｐａｔｔｅｍ　ｍａｔｃｈｉｎｇ，ｐｒｏｔｏｃｏｌ　ａｎａｌｙｓｉｓ　ａｎｄ　ａｎｏｍａｌｙ　ｄｅｔｅｃｔｉｏｎ．　Ｔｈｅ　ｐａｔｔｅｒｎ　ｍａｔｃｈｉｎｇ　ｍｅｔｈｏｄｏｌｏｇｙ　ｉｓ　ｕｓｅｄ　ｔｏ　ｄｅｔｅｒｍｉｎｅ　ｈｏｗ　ｆｒｅｑｕｅｎｔｌｙ　ａｎ　ａｐｐｌｉｃａｎｔ　ｐａｔｔｅｒｎ　ｈａｐｐｅｎｓ　ａｎｄ　ａｌｓｏ　ｔｏ　ｄｅｔｅｒｍｉｎｅ　ｓｏｍｅ　ｄａｔａ　ａｂｏｕｔ　ｉｔｓ　ｒｆｅｑｕｅｎｃｙ　ｄｉｓｔｒｉｂｕｔｉｏｎ　ｔｈｒｏｕｇｈｏｕｔ　ａ　ｔｅｘｔ．ＰａＲｅｍ　ｉｓ　ｓｅｔ　ｏｆ　ｓｔｒｉｎｇｓ，ｉｎ　ｗｈｉｃｈ　ｅａｃｈ　ｓｔｒｉｎｇ　ｉｓ　ａ　ｓｅｒｉｅｓ　ｏｆ　ｓｙｍｂｏｌｓ．　Ｔｈｅ　ｂｅｓｔ　ｐａｔｔｅｍ　ｈａｓ　ａ　ｓｍａｌｌ　ｎｕｍｂｅｒ　ｏｆ　ｓｔｒｉｎｇｓ．Ｔｈｉｓ　ｔｅｃｈｎｉｑｕｅ　ｄｅｐｅｎｄｓ　ｏｎ　ｆｉｎｄｉｎｇ　ｏｕｔ　ｈｏｗ　ｍａｎｙ　ｔｉｍｅｓ　ａ　ｓｔｒｉｎｇ　ｉｓ　ｏｃｃｕｒｒｅｄ　ｉｎ　ａ　ｔｅｘｔ　ａｎｄ　ｄｅｔｅｒｍｉｎｉｎｇ　ｉｔｓ　ｉｎｃｉｄｅｎｔ　ｐｏｓｉｔｉｏｎｓ［２２］．　Ｔｈｅ　ｐｒｏｔｏｃｏｌ　ａｎａｌｙｓｉｓ　ｔｅｃｈｎｉｑｕｅ　ｉｓ　ｕｓｅｄ　ｔｏ　ｄｉｓｃｏｖｅｒ　ｔｈｅ　ｌｏｃａｔｉｏｎｓ　ａｓ　ｗｅｌｌ　ａｓ　ｌｅｎｇｔｈｓ　ｏｆ　ｆｉｅｌｄｓ　ｔｈａｔ　ｅｘｉｓｔ　ｉｎ　ｔｈｅ　ｐｒｏｔｏｃｏｌ　ｐａｃｋｅｔｓ．Ｔｈｅ　ｓｔｒｕｃｔｕｒｅ　ｏｆ　ｂｏｔｈ　ｎｅｅｄｓ　ａｎｄ　ｒｅｓｐｏｎｓｅｓ　ｃａｎ　ｂｅ　ｕｎｄｅｒｓｔｏｏｄ　ｂｙ　ｔｈｅｓｅ　ｐａｃｋｅｔｓ　ｗｉｔｈ　ｔｈｅ　ｕｓｅ　ｏｆ　ｒｅｖｅｒｓｅ　ｅｎｇｉｎｅｅｒｉｎｇ．Ｔｈｉｓ　ｔｅｃｈｎｉｑｕｅ　ｉｓ　ｃａｒｒｉｅｄ　ｏｕｔ　ｖｉａ　ｈａｎｄ　ｕｓｉｎｇ　ｐｅｒｃｅｐｔｉｏｎ　ａｓ　ｗｅｌｌ　ａｓ　ａ　ｐｒｏｔｏｃｏｌ　ａｎａｌｙｓｅｒ　ｉｎｓｔｒｕｍｅｎｔ，ｌｉｋｅ　ｔｃｐｄｕｍｐ．Ｉｔ　ｃａｎ　ｂｅ　ｕｓｅｄ　ｉｎ　ｔｈｅ　ＮＩＤＳｓ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｆｉｎｄ　ｏｕｔ　ｔｈｅ　ｈｉｇｈｅｒ—ｌｅｖｅｌ　ｓｅｍａｎｔｉｃｆｆａｍｅｖｍｒｋｆｒｏｍ　ａｔｒａｆｉｆｃ　ｓｅｔ［１９，２３１．　Ｔｈｅ　ａｎｏｍａｌｙ　ｄｅｔｅｃｔｉｏｎ　ｔｅｃｈｎｉｑｕｅ　ｉｓ　ｕｓｅｄ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｄｉｓｃｏｖｅｒ　ｐａｔｔｅｍｓ　ｉｎ　ｄａｔａ，ｗｈｉｃｈ　ａｒｅ　ｎｏｔ　ｍａｔｃｈｅｄ　ｗｉｔｈ　Ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ａｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　ｕｎｄｅｒ　Ｄｉｆｅｒｅｎｔ　Ｔｅｃｈｎｉｑｕｅｓ　ｌ４９　ｔｈｅ　ｐｒｏｓｐｅｃｔｅｄ　ｂｅｈａｖｉｏｕｒ．Ｔｈｏｓｅ　ｐａｔｔｅｒｎｓ　ｃａｎ　ｂｅ　ａｎｏｍａｌｉｅｓ，ｅｘｃｅｐｔｉｏｎｓ，ｃｏｎｔａｍｉｎａｎｔｓ，ｐｅｃｕｌｉａｒｉｔｉｅｓ　ｏｒ　ｏｕｔｌｉｅｒｓ．Ｔｈｅ　ｍｏｓｔ　ｕｓｅｄ　ｐａｔｔｅｒｎｓ　ｉｎ　ｔｈｉｓ　ｔｅｃｈｎｉｑｕｅ　ａｒｅ　ｔｈｅ　ａｎｏｍａｌｉｅｓ　ａｎｄ　ｏｕｔｌｉｅｒｓ．Ｔｈｉｓ　ｔｅｃｈｎｉｑｕｅ　ｃａｎ　ｄｉｓｃｏｖｅｒ　ｗｉｄｅ　ａｐｐｌｉｃａｔｉｏｎｓ　ｕｓｅ，ｌｉｋｅ　ｆｒａｕｄ　ｄｅｔｅｃｔｉｏｎ　ｏｆ　ｃｒｅｄｉｔ　ｃａｒｄｓ　ａｎｄ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ．Ｔｈｅ　ｍｏｓｔ　ｉｍｐｏｒｔａｎｔ　ｐｏｉｎｔ　ｏｆ　ｔｈｉｓ　ｔｅｃｈｎｉｑｕｅ　ｉｓ　ｔｈａｔ　ａｎｏｍａｌｉｅｓ　ｔｈａｔ　ｅｘｉｓｔ　ｉｎ　ｄａｔａ　ａｒｅ　ｃｏｎｖｅｒｔｅｄ　ｉｎｔｏ　ｉｍｐｏｒｔａｎｔ　ｄａｔａ　ｉｎ　ｓｅｖｅｒａｌ　ａｐｐｌｉｃａｔｉｏｎｓ【１　６，２４１．　３．Ｍｕｌｔｉ—Ｌａｙｅｒ　Ｂａｙｅｓｉａｎ　Ｆｉｌｔｅｒｉｎｇ　Ｔｅｃｈｎｉｑｕｅ　Ｍｕｌｔｉ－ｌａｙｅｒ　Ｂａｙｅｓｉａｎ　ｆｉｌｔｅｒｉｎｇ　ｔｅｃｈｎｉｑｕｅ　ｉｓ　ｕｓｅｄ　ｉｎ　ｔｈｅ　ＩＤＳｓ　ｗｉｔｈ　ｔｈｅ　ｕｓｅ　ｏｆ　ＫＤＤ　ｄａｔａｓｅｔ．ＫＤＤ　ｉｓ　ｏｎｅ　ｏｆ　ｔｈｅ　ｍａｉｎ　ｐｒａｃｔｉｃａｌ　ａｎｄ　ｒｅａｌｉｓｔｉｃ　ｓｅｔｓ　ｔｈａｔ　ｃｏｎｔａｉｎ　ａｃｔｕａｌ　ａｔｔａｃｋｓ．Ｉｔ　ｉｓ　ｕｓｅｄ　ｉｎ　ｔｈｅ　ｍｏｄｅｌｌｉｎｇ　ａｎｄ　ｅｖａｌｕａｔｉｏｎ　ｏｆ　ＩＤＳ　ａｎｄ　ｉｔ　ａｓｓｉｓｔｓ　ｉｎ　ｔｈｅ　ｃｏｍｐａｒｉｓｏｎ　ｂｅｔｗｅｅｎ　ｅｘｐｅｒｉｍｅｎｔａｌ　ｒｅｓｕｌｔｓ．Ｔｈｅ　ｍｏｄｅｌ　ｏｆ　Ｂａｙｅｓｉａｎ　ＩＤＳ　ｉｄｅｎｔｉｆｉｅｓ　ｆｅａｔｕｒｅｓ，ｗｈｉｃｈ　ｈａｖｅ　ｄｉｖｅｒｓｅ　ｈａｐｐｅｎｉｎｇ　ｐｒｏｂａｂｉｌｉｔｉｅｓ　ｉｎ　ｂｏｔｈ　ａｔｔａｃｋｓ　ａｎｄ　ＴＣＰ　ｔｒａｆｉｆｃ．Ｉｎｉｔｉａｌｌｙ，　Ｂａｙｅｓｉｎａ　ｆｉｌｔｅｒ　ｉｓ　ｑｕａｌｉｉｆｅｄ　ｂｙ　ａ　ｐｒｅ—ｃｌａｓｓｉｉｆｅｄ　ｔｒａｆｉｆｃ　ａｎｄ　ｔｈｅｎ　ｉｔ　ｃｏｒｒｅｃｔｓ　ｔｈｅ　ｆｅａｔｕｒｅｓ　ｐｒｏｂａｂｉｌｉｔｉｅｓ．Ａｆｔｅｒ　ｔｈａｔ，　ｉｔ　ｃａｌｃｕｌａｔｅｓ　ｅａｃｈ　ＴＣＰ　ｐｒｏｂａｂｉｌｉｔｙ　ａｎｄ　ｃａｔｅｇｏｒｉｚｅｓ　ｉｔ　ａｓ　ａ　ｎｏｒｍａｌ　ｔｒａｆｉｆｃ　ｏｒ　ａｔｔａｃｋ　ｏｎｅ．　Ｂａｙｅｓｉａｎ　ｆｉｌｔｅｒ　ｃｏｎｔａｉｎｓ　ｔｗｏ　ｃｏｍｐｏｎｅｎｔｓ：ｔｒａｉｎｉｎｇ　ｅｎｇｉｎｅ　ａｎｄ　ｔｅｓｔｉｎｇ　ｅｎｇｉｎｅ．Ｔｈｅ　ｔｒａｉｎｉｎｇ　ｅｎｇｉｎｅ　ｃａｌｃｕｌａｔｅｓ　ｔｈｅ　ｎｕｍｂｅｒｓ　ｏｆ　ｂｏｔｈ　ｇｏｏｄ　ａｎｄ　ｂａｄ　ｒｅｃｏｒｄｓ，　ｔｈｅｎ　ｉｔ　ｃｒｅａｔｅｓ　ｔｈｒｅｅ　ｈａｓｈ　ｔａｂｌｅｓ；ｔｗｏ　ｏｆ　ｔｈｅｍ　ｃｏｎｔａｉｎ　ｔｈｅ　ｆｒｅｑｕｅｎｃｙ　ｏｆ　ｂｏｔｈ　ｇｏｏｄ　ｒｅｃｏｒｄｓ　ａｔｔｒｉｂｕｔｅｓ　ａｎｄ　ｂａｄ　ｒｅｃｏｒｄｓ　ａｔｔｒｉｂｕｔｅｓ　ａｎｄ　ｔｈｅ　ｔｈｉｒｄ　ｏｎｅ　ｃｏｎｔａｉｎｓ　ｔｈｏｓｅ　ａｔｔｒｉｂｕｔｅｓ　ａｎｄ　ｈｔｅｉｒ　ｓｃｏｒｅｓ［９，１　３］．　Ｔｈｅ　ｔｅｓｔｉｎｇ　ｅｎｇｉｎｅ　ｉｓ　ｕｓｅｄ　ｔｏ　ｔｅｓｔ　ｔｈｅ　ｒｅｓｕｌｔａｎｔ　ｔｒａｉｎｉｎｇ　ｅｎｇｉｎｅ　ｕｓｉｎｇ　ｔｈｅ　ＫＤＤ　ｄａｔａｓｅｔ　ａｎｄ　ｔｏ　ｄｅｔｅｒｍｉｎｅ　ｉｆ　ｔｈｅ　ｒｅｃｏｒｄ　ｉｓ　ａｎ　ａｔｔａｃｋ　ｏｒ　ｎｏｔ　ｂａｓｅｄ　ｏｎ　ａ　ｓｐｅｃｉｉｆｅｄ　ｔｈｒｅｓｈｏｌｄ．Ａｃｃｕｒａｃｙ　ａｎｄ　ｒｅｓｕｌｔｓ　ｏｆ　ｔｅｓｔｓ　ｄｅｐｅｎｄ　ｏｎ　ｄａｔａｂａｓｅｓ，ｆｅａｔｕｒｅｓ　ａｎｄ　ｔｒｈｅｓｈｏｌｄ　ｖａｌｕｅ．　Ｔｈｅ　ｆｏｌｌｏｗｉｎｇ　ｐｅｒｃｅｎｔａｇｅ　ｅｘｐｒｅｓｓｉｏｎｓ　ａｒｅ　ｕｓｅｄ　ｉｎ　ｔｈｅ　ａｎａｌｙｓｉｓ　ｏｆｄａｔａ［１０，７，２５］．　ＴＮ（ｔｒｕｅ　ｎｅｇａｔｉｖｅ）：ｎｏｒｍａｌ　ｒｅｃｏｒｄｓ，ｗｈｉｃｈ　ａｒｅ　ｃｏｒｒｅｃｔｌｙ　ｃｌａｓｓｉｉｆｅｄ；ＴＰ（ｔｒｕｅ　ｐｏｓｉｔｉｖｅ）：ａｔｔａｃｋ　ｒｅｃｏｒｄｓ，　ｗｈｉｃｈ　ａｒｅ　ｃｏｒｒｅｃｔｌｙ　ｃｌａｓｓｉｉｆｅｄ；ＦＰ（ｆａｌｓｅ　ｐｏｓｉｔｉｖｅ）：　ｎｏｒｍａｌ　ｒｅｃｏｒｄｓ，ｗｈｉｃｈ　ａｒｅ　ｉｎｃｏｒｒｅｃｔｌｙ　ｃｌａｓｓｉｆｉｅｄ　ａｓ　ａＲａｃｋｓ　ａｎｄ　ＦＮ（ｆａｌｓｅ　ｎｅｇａｔｉｖｅ）：ａｔｔａｃｋ　ｒｅｃｏｒｄｓ　ｗｈｉｃｈ　ａｒｅ　ｉｎｃｏｒｒｅｃｔｌｙ　ｃｌａｓｓｉｆｉｅｄ　ａｓ　ｎｏｒｍａ１．Ｂｙ　ｕｓｉｎｇ　ｔｈｅｓｅ　ｅｘｐｒｅｓｓｉｏｎｓ，ｂｏｔｈ　ｔｈｅ　ｄｅｔｅｃｔｉｏｎ　ｒａｔｅ　ａｎｄ　ｃｌａｓｓｉｆｉｃａｔｉｏｎ　ｒａｔｅ　ｃａｎ　ｂｅ　ｒｅｐｒｅｓｅｎｔｅｄ　ａｓ　ｆｏｌｌｏｗｓ：　’　ＤｅｔｅｃｔｉｏｎＲａｔｅ（ＤＲ）　Ｔ　Ｄ　（１）　Ｃｌａｓｓｉｉｆｃａｔｉｏｎ　Ｒａｔｅ（ｃＲ）＝　Ｔ　Ｐ＋　ＴＮ　（２）　Ｔｈｒｅｅ　ｉｍｐｒｏｖｅｄ　Ｂａｙｅｓｉａｎ　ｆｉｌｔｅｒｓ　ａｒｅ　ｅｘｐｌａｉｎｅｄ　ａｎｄ　ｃｏｍｐａｒｅｄ　ｗｉｔｈ　ｅａｃｈ　ｏｔｈｅｒ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｄｅｔｅｒｍｉｎｅ　ｔｈｅ　ｍｏｓｔ　ａｃｃｕｒａｔｅ　ｉｆｌｔｅｒ　ｉｎ　ｔｈｅ　ｄｅｔｅｃｔｉｏｎ　ｏｆ　ａｔｔａｃｋ　ｒｅｃｏｒｄｓ．　Ｉｍｐｒｏｖｅｄ　Ｂａｙｅｓｉａｎ　Ｆｉｌｔｅｒ　１（ＩＢＦ　１）　ＩＢＦ　１　ｉｓ　ａ　ｏｎｅ—ｌａｙｅｒ　ｆｉｌｔｅｒ．Ｉｎ　ｔｈｉｓ　ｆｉｌｔｅｒ，ｔｈｅ　ｎｏｒｍａｌ　ｒｅｃｏｒｄｓ　ａｒｅ　ｆｉｌｔｅｒｅｄ　ａｇａｉｎ　ｆｏｒ　ｓｅｖｅｒａｌ　ｔｉｍｅｓ　ｗｉｔｈ　ｔｈｅ　ｕｓｅ　ｏｆ　ｅｎｇｉｎｅｓ　ｔｈａｔ　ｈａｖｅ　ｄｉｆｆｅｒｅｎｔ　ｓｅｔｔｉｎｇｓ　ｏｆ　ｔｒｈｅｓｈｏｌｄ　ａｎｄ　ｆｅａｔｕｒｅｓ，ｗｈｅｒｅ　ｔｈｅ　ｏｕｔｐｕｔ　ｎｏｒｍａｌ　ｒｅｃｏｒｄｓ　ｏｆ　ｏｎｅ　ｅｎｇｉｎｅ　ａｒｅ　ｔｈｅ　ｉｎｐｕｔｓ　ｏｆ　ｔｈｅ　ｎｅｘｔ　ｅｎｇｉｎｅ．Ｔｈｉｓ　ｐｒｏｃｅｓｓ　ｅｎｈａｎｃｅｓ　ｔｈｅ　ａｃｃｕｒａｃｙ，ｗｈｅｒｅ　ａｔｔａｃｋ　ｒｅｃｏｒｄｓ　ｏｆ　ａｌｌ　ｅｎｇｉｎｅｓ　ａｒｅ　ｃｏｌｌｅｃｔｅｄ．Ｆｉｇ．１　ｓｈｏｗｓ　ｔｈｅ　ＩＢＦ　１　ｍｏｄｅｌ　［１２，２６］．　Ｉｍｐｒｏｖｅｄ　Ｂａｙｅｓｉａｎ　Ｆｉｌｔｅｒ　２（ＩＢＦ２）　ＩＢＦ２　ｉｓ　ａ　ｏｎｅ—ｌａｙｅｒ　ｆｉｌｔｅｒ．Ｉｎ　ｔｈｉｓ　ｆｉｌｔｅｒ，ｔｈｅ　ｎｏｒｍａｌ　ｒｅｃｏｒｄｓ　ａｒｅ　ｆｉｌｔｅｒｅｄ　ａｇａｉｎ　ｆｏｒ　ｓｅｖｅｒａｌ　ｔｉｍｅｓ　ｗｉｔｈ　ｔｈｅ　ｕｓｅ　ｏｆ　ｅｎｇｉｎｅｓ　ｔｈａｔ　ｈａｖｅ　ｄｉｆｆｅｒｅｎｔ　ｓｅｔｔｉｎｇｓ　ｏｆ　ｄａｔａｂａｓｅｓ，　ｗｈｅｒｅ　ｈｔｅ　ｏｕｔｐｕｔ　ｎｏｒｍａｌ　ｒｅｃｏｒｄｓ　ｏｆ　ｏｎｅ　ｅｎｇｉｎｅ　ａｒｅ　ｔｈｅ　ｉｎｐｕｔｓ　ｏｆ　ｔｈｅ　ｎｅｘｔ　ｅｎｇｉｎｅ．Ｔｈｉｓ　ｐｒｏｃｅｓｓ　ｅｎｈａｎｃｅｓ　ｔｈｅ　ｄｅｔｅｃｔｉｏｎ　ｒａｔｅ　ｂｕｔ　ｉｔ　ｈａｓ　ｈｉｇｈ　ＦＰ　ｐｅｒｃｅｎｔａｇｅ　ｗｈｉｃｈ　ｉｓ　ａ　ｐｒｏｂｌｅｍ．Ｆｉｇ．２　ｂｅｌｏｗ　ｓｈｏｗｓ　ｔｈｅ　ＩＢＦ２　ｍｏｄｅｌ［１　１］．　Ｉｍｐｒｏｖｅｄ　Ｂａｙｅｓｉａｎ　Ｆｉｌｔｅｒ　３（ＩＢＦ３）　ＩＢＦ３　ｆｉｌｔｅｒ　ｃｏｎｓｉｓｔｓ　ｏｆ　ｔｗｏ　ｌａｙｅｒｓ　ｉｎ　ｓｅｒｉｅｓ．Ｉｎ　ｔｈｅ　ｉｆｒｓｔ　ｌａｙｅｒ，ａｔｔａｃｋ　ｒｅｃｏｒｄｓ　ａｒｅ　ｆｉｌｔｅｒｅｄ　ａｇａｉｎ，ｗｈｉｌｅ　ｉｎ　ｔｈｅ　ｓｅｃｏｎｄ　ｌａｙｅｒ，ｂｏｔｈ　ａｔｔａｃｋ　ａｎｄ　ｎｏｒｍａｌ　ｒｅｃｏｒｄｓ　ａｒｅ　ｉｆｌｔｅｒｅｄ．Ｔｈｉｓ　ｃｏｍｂｉｎａｔｉｏｎ　ｇｉｖｅｓ　ｔｈｅ　ｈｉｇｈｅｓｔ　ｄｅｔｅｃｔｉｏｎ　ｒａｔｅ　ｔｈａｔ　ｅｑｕａｌｓ　ｔｏ　９６．８５％ｓｉｎｃｅ　ｂｏｔｈ　ｔｙｐｅｓ　ｏｆ　ｒｅｃｏｒｄｓ　ａｒｅ　ｆｉｌｔｅｒｅｄ　ａｇａｉｎ．Ｆｉｇ．３　ｂｅｌｏｗ　ｓｈｏｗｓ　ｔｈｅ　ＩＢＦ３　ｍｏｄｅｌ　［１４，１７］．　４．Ｓｙｓｔｅｍ　Ｍｏｄｅｌ　Ｉｎ　ｔｈｉｓ　ｐａｐｅｒ，ａ　Ｎａｉｖｅ　Ｂａｙｅｓｉａｎ　ｂａｓｅｄ　ＩＤＳ　ｉｓ　ｅｘｐｌｏｒｅｄ　ａｎｄ　ｄｉｓｃｕｓｓｅｄ．　Ｉｎｉｔｉａｌｌｙ，ｔｈｉｓ　ｓｅｃｔｉｏｎ　ｏｆｆｅｒｓ　ａ　ｂｒｉｅｆｄｅｓｃｒｉｐｔｉｏｎ　ｃｏｎｃｅｍｉｎｇ　ｔｈｅ　Ｎａｉｖｅ　Ｂａｙｅｓｉａｎ　１５Ｏ　Ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ａｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　ｕｎｄｅｒ　Ｄｉｆｅｒｅｎｔ　Ｔｅｃｈｎｉｑｕｅｓ　Ｆｉｇ．１　ＩＢＦ１　ｍｏｄｅ１．　Ｆｉｇ．２　ＩＢＦ２　ｍｏｄｅ１．　ｔｅｃｈｎｉｑｕｅ　ｗｉｔｈ　ｅｘｐｌｏｒｉｎｇ　ｔｈｅｉｒ　ｐｒｉｎｃｉｐｌｅｓ　ｏｆ　ｗｏｒｋ　ａｎｄ　ｍａｉｎ　ｅｑｕａｔｉｏｎｓ．Ａｔｉｅｒ　ｔｈａｔ，ｔｈｏｓｅ　ｓｙｓｔｅｍｓ　ａｒｅ　ｔｒａｉｎｅｄ　ｔｈｉｓ　ｓｅｃｔｉｏｎ．Ｔｈｅ　ＮＳＬ—ＫＤＤ　ｄａｔａｂａｓｅ　ｉＳ　ａｐｐｌｉｅｄ　ｉｎ　ｔｈｉｓ　ｗｏｒｋ　ｕｓｉｎｇ　ｔｗｏ　ｓｅｔｓ　ｏｆ　ｆｅａｔｕｒｅｓ　ｎｕｍｂｅｒｓ　ｆｏｒ　ｂｏｔｈ　ａｎｄ　ｔｅｓｔｅｄ　ｕｓｉｎｇ　ｔｈｅ　ＮＳＬ—ＫＤＤ　ｄａｔａｂａｓｅ　ｉｎ　ｏｒｄｅｒ　ｔｏ　ｍｅａｓｕｒｅ　ａｎｄ　ｅｖａｌｕａｔｅ　ｔｈｅｉｒ　ｐｅｒｆｏｒｍａｎｃｅ．Ｔｈｉｓ　ｄａｔａｂａｓｅ　ｃｏｍｐｏｓｅｄ　ｏｆ　４　１　ｎｅｔｗｏｒｋ　ｃｏｎｎｅｃｔｉｏｎ　ｆｅａｔｕｒｅｓ，　ｗｈｅｒｅ　ｔｈｅ　ｎａｍｅｓ　ｏｆ　ｔｈｏｓｅ　ｆｅａｔｕｒｅｓ　ａｒｅ　ｄｅｍｏｎｓｔｒａｔｅｄ　ｉｎ　ｃｌａｓｓｉｉｆｃａｔｉｏｎ　ｍｅｔｈｏｄｓ：（５，１０，２４，２９，３３，３４，３８，４０）　ａｎｄ（２，５，８，２３，３０，３４，３５，３８）．Ｔｈｅ　ｐｒｏｐｏｓｅｄ　ｃｌａｓｓｉｆｉｃａｔｉｏｎ　ｍｅｔｈｏｄｓ　ａｒｅ　ａｐｐｌｉｅｄ　ｏｎ　ｔｈｅ　ｐｒｏｐｏｓｅｄ　ＩＤＳｓ　ｕｓｉｎｇ　ｔｈｏｓｅ　ｓｅｔｓ　ｏｆ　ｆｅａｔｕｒｅｓ．　Ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ａｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　ｕｎｄｅｒ　Ｄｉｆｅｒｅｎｔ　Ｔｅｃｈｎｉｑｕｅｓ　１５１　Ｆｉｇ．３　ＩＢＦ３　ｍｏｄｅ１．　Ｔｈｅ　Ｎａｉｖｅ　Ｂａｙｅｓ　ａｌｇｏｒｉｔｈｍ　ｉｓ　ａｐｐｌｉｅｄ　ｏｎ　ｔｈｅ　ＩＤＳ　ｔｏ　ＮＳＬ—ＫＤＤ　ｄａｔａ　ｓｅｔｓ　ｉｎｃｌｕｄｅ　４　ｌ　ｆｅａｔｕｒｅｓ　ｏｆ　ｔｈｅ　ｉｆｎｄ　ｔｈｅ　ｐｒｏｂａｂｉｌｉｔｙ　ｏｆ　ｔｈｅ　ｐｒｅｓｅｎｃｅ　ｏｆ　ａｎ　ａｔｔａｃｋ　ｉｎ　ａ　ｎｅｔｗｏｒｋ　ｃｏｎｎｅｃｔｉｏｎ．　ｃｏｍｐｕｔｅｒ　ｎｅｔｗｏｒｋ．Ｗｈｅｎ　ｔｈｅ　ｃｏｍｐｕｔｅｄ　ａｔｔａｃｋ　ｐｒｏｂａｂｉｌｉｔｙ　ｉｓ　ｈｉｇｈ　ｂｕｔ　ｎｏｔ　ｅｎｏｕｇｈ　ｔｏ　ｂｅ　ｃｏｎｓｉｄｅｒｅｄ　ａｓ　５．Ｓｉｍｕｌａｔｉｏｎ　ａｎｄ　Ｎｕｍｅｒｉｅａｌ　Ｒｅｓｕｌｔｓ　ａｔｔａｃｋ，ｔｈｅｎ　ｔｈｅ　ｃｏｍｐｕｔｅｒ　ｎｅｔｗｏｒｋ　ｐｒｏｄｕｃｅｓ　ａ　ｒｅｐｏｒｔ　Ｉｎ　ｍｉｓ　ｓｅｃｔｉｏｎ．ｔｈｅ　ｏｂｔａｉｎｅｄ　ｒｅｓｕｌｔｓ　ｆｏｒ　ｄｅｖｅｌｏｐｅｄ　ａｎｄ　ｗａｍｓ　ｔｈｅ　ａｄｍｉｎｉｓｔｒａｔｏｒ　ｏｆ　ｈｔｅ　ｓｙｓｔｅｍ．Ｔｈｅ　Ｎａｉｖｅ　Ｎａｉｖｅ　Ｂａｙｅｓ　ｂａｓｅｄ　ＩＤＳｓ（ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｓｙｓｔｅｍｓ、　Ｂａｙｅｓ　ｃａｎ　ｂｅ　ｕｓｅｄ　ｔｏ　ｃｌａｓｓｉｆｙ　ａｎｙ　ｕｎｋｎｏｗｎ　ｏｂｊｅｃｔ　ｕｓｉｎｇ　ｈｔｅ　ｐｒｏｐｏｓｅｄ　ｓｅｔｓ　ｏｆｆｅａｔｕｒｅｓ　ｎｉ　Ｒｅｆｓ．［２７，２８】ａｒｅ　ｗｈｅｎ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｉｓ　ｑｕａｎｔｉｆｉｅｄ　ｂａｓｅｄ　ｏｎ　ｉｔｓ　ａｔｔｒｉｂｕｔｅｓ　ｐｒｅｓｅｎｔｅｄ．Ｔｈｅ　ＮＳＬ—ＫＤＤ　ｄａｔａｂａｓｅ　ｉＳ　ｕｓｅｄ　ｔｏ　ｍｅａｓｕｒｅ　ｖａｌｕｅｓ　ｂｙ　ｕｓｉｎｇ　ｔｈｅ　ｆｏｌｌｏｗｉｎｇ　ｅｘｐｒｅｓｓｉｏｎ　Ｅｑ．（３）［１５］．　ｔｈｅ　ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ｂｏｔｈ　ｓｙｓｔｅｍｓ，ｗｈｅｒｅ　ｔｈｏｓｅ　ｓｙｓｔｅｍｓ　Ｐ（Ｃｖ（ｘ／ｃｊ）Ｐ（Ｃｊ）ｄｉｆｆｅｒ　ｉｎ　ｔｈｅ　ｕｓｅｄ　ｓｅｔ　ｏｆ　ｆｅａｔｕｒｅｓ．Ａ１１　ｔｈｅ　ｓｉｍｕｌａｔｉｏｎ　ｊ／ｘ）＝—　一　　ｒｅｓｕｌｔｓ　ａｒｅ　ｏｂｔａｉｎｅｄ　ｕｓｉｎｇ　ｔｈｅ　ＭＡＴＬＡＢ　ｐｒｏｇｒａｍ．　Ｐ（Ｃｊ／Ｘ）＞Ｐ（Ｃｉ／Ｘ），１　ｉ　ｍ，ｉ≠ｊ　（３）　Ｆｉｇ．４　ｓｈｏｗｓ　ｔｈｅ　ｏｂｔａｉｎｅｄ　ｒｅｓｕｌｔｓ　ｏｆ　ｈｔｅ　ｐｒｏｐｏｓｅｄ　Ｗｈｅｒｅ，Ｃ｛ｃｌａｓｓ　ｔｈａｔ　ｂｅｌｏｎｇ　ｔｏ　ｇｒｏｕｐ　ｏｆ　ｍ　ｃｌａｓｓｅｓ　Ｃ　１，　Ｎａｉｖｅ　Ｂａｙｅｓ　ｂａｓｅｄ　ＩＤＳ　ｕｓｉｎｇ　ｔｈｅ　ｐｒｏｐｏｓｅｄ　ｓｅｔ　ｏｆ　Ｃ２．．．Ｃｍ，Ｘ　ｒｅｐｒｅｓｅｎｔｓ　ｔｈｅ　ｄａｔａ　ｓａｍｐｌｅ　ｗｈｉｃｈ　ｎｏｔ　ｆｅａｔｕｒｅｓｉｎＲｅｆ　ｆ２７１　ｆｏｒｔｈｅ　ｆｉｒｓｔ　ｃａｓｅ．　ｋｎｏｗｎ　ａｎｄ　Ｐ㈣ｉｓ　ｃｏｎｓｔａｎｔ　ｆｏｒ　ｅａｃｈ　ｃａｔｅｇｏｒｙ．Ｔｈｅ　Ａｓ　ｓｈｏｗｎ　ｉｎ　ｔｈｅ　Ｆｉｇ．５　ｂｅｌｏｗ．ｔｈｅ　ｓｙｓｔｅｍ　ｈａｓ　ＤＲ　ｐｒｏｐｏｓｅｄ　ＩＤＳｓ　ｕｓｅ　Ｎａｉｖｅ　Ｂａｙｅｓ　Ｅｑ．（３）ｔｏ　ｃｌａｓｓｉｆｙ　８８．５　ｌ％ａｎｄ　ｏｂｖｉｏｕｓ　ＦＮ　ａｎｄ　ＦＰ　ｒａｔｅｓ．ｗｈｅｒｅ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｃｏｎｎｅｃｔｉｏｎｓ　ａｓ　ｎｏｒｍａｌ　ｏｒ　ａｔｔａｃｋ　ｂａｓｅｄ　ｏｎ　ｒｅｓｕｌｔａｎｔ　ＦＮ　ｒａｔｅ　ｉｎ　７．４９％ａｎｄ　ＦＰ　ｒａｔｅ　ｉＳ　ｌ８．１６％．　ｔｈｅｉｒ　ｆｅａｔｕｒｅｓ．Ｉｎ　ｔｈｅ　ｐｒｏｐｏｓｅｄ　ＩＤＳ　ｈｔｅ　ＮＳＬ—ＫＤＤ　ｄａｔａ　Ｔｈｕｓ，ｔｈｉｓ　ｓｙｓｔｅｍ　ｎｅｅｄｓ　ｆｕｒｔｈｅｒ　ｅｎｈａｎｃｅｍｅｎｔｓ　ｂａｓｅｄ　ｓｅｔ　ｉｓ　ｕｓｅｄ　ｏｆｒ　ｒｔａｉｎｉｎｇ　ａｎｄ　ｔｅｓｔｉｎｇ　ｓｔａｇｅｓ　ｔｏ　ｅｖａｌｕａｔｉｏｎ．　ｏｎ　ｅｌｉｍｉｎａｔｉｎｇ　ａｌｌ　ｒｅｃｏｒｄｓ　ｔｈａｔ　ｒｅｓｕｌｔ　ｉｎ　ｆａｌｓｅ　ａｌａｒｍｓ．　Ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ａｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　ｕｎｄｅｒ　Ｄｉｆｅｒｅｎｔ　Ｔｅｃｈｎｉｑｕｅｓ　１５３　ＩＤＳ　ｕｓｉｎｇ　Ｎａｉｖｅ　Ｂａｙｅｓｉａｎ　ｃｌａｓｓｉｉｆｅｒ　ｔｏ　ｄｅｃｒｅａｓｅ　ｔｈｅ　ｎｕｍｂｅｒ　ｏｆ　ｇｅｎｅｒａｔｅｄ　ｆａｌｓｅ　ａｌａｒｍｓ：ｆａｌｓｅ　ｐｏｓｉｔｉｖｅｓ　ａｎｄ　ｆａｌｓｅ　ｎｅｇａｔｉｖｅｓ，ｉｍｐｒｏｖｅ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ａｎｄ　ｅｎｈａｎｃｅ　ｔｈｅ　ｄｅｔｅｃｔｉｏｎ　ｒａｔｅ　ｏｆ　ｓｅｖｅｒａｌ　ｔｙｐｅｓ　ｏｆ　ａＲａｃｋｓ．　Ｎａｉｖｅ　Ｂａｙｅｓｉａｎ　ｍｅｔｈｏｄ　ｗａｓ　ａｐｐｌｉｅｄ　ｏｎ　ｔｈｅ　ｃｏｎｓｔｒｕｃｔｅｄ　ＩＤＳ　ｉｎ　ｄｉｆｆｅｒｅｎｔ　ｓｃｅｎａｒｉｏｓ　ｕｓｉｎｇ　ｔｈｅ　ＭＡＴＬＡＢ　ｐｒｏｇｒａｍ，ｗｈｅｒｅ　ｔｈｅｎ　ａ　ｃｏｍｐａｒａｔｉｖｅ　ｓｔｕｄｙ　ａｍｏｎｇ　ｔｈｅｍ　ｗａｓ　ｃｏｎｄｕｃｔｅｄ　ｂａｓｅｄ　ｏｎ　ａｎａｌｙｚｉｎｇ　ｔｈｅ　ｐｅｒｆｏｒｍａｎｃｅ　ｐａｒａｍｅｔｅｒｓ　ａｎｄ　ｄｅｔｅｒｍｉｎｉｎｇ　ｔｈｅ　ｍｏｓｔ　ｅｆｉｆｃｉｅｎｔ　ｓｔａｔｉｓｔｉｃａｌ　ｍｅｔｈｏｄ　ｉｎ　ｄｅｔｅｃｔｉｎｇ　ｖａｒｉｏｕｓ　ｔｙｐｅｓ　ｏｆ　ａｔｔａｃｋｓ．Ｔｈｅ　ＮＳＬ—ＫＤＤ　ｄａｔａｂａｓｅ　ｗａｓ　ｕｓｅｄ　ｔｏ　ｍｅａｓｕｒｅ　ｔｈｅ　ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ｔｈｅ　ｉｍｐｌｅｍｅｎｔｅｄ　ｓｙｓｔｅｍｓ，　ｗｈｅｒｅ　ｉｔ　ｃｏｍｐｏｓｅｄ　ｏｆ　４　１　ｆｅａｔｕｒｅｓ　ｏｆ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｃｏｎｎｅｃｔｉｏｎ．　Ｆｏｒ　ｔｈｅ　Ｎａｉｖｅ　Ｂａｙｅｓｉａｎ　ｃｌａｓｓｉｆｉｅｒ，ｔｗｏ　ｓｙｓｔｅｍｓ　ｈａｖｅ　ｂｅｅｎ　ｉｍｐｌｅｍｅｎｔｅｄ　ａｎｄ　ａｎａｌｙｚｅｄ．Ｕｓｉｎｇ　ｔｈｅ　ｐｒｏｐｏｓｅｄ　ｆｅａｔｕｒｅｓ　ｎｕｍｂｅｒｓ　ｉｎ　Ｒｅｆｓ．［２７，２８］，ｔｈｅ　ｏｂｔａｉｎｅｄ　ＤＲｓ　ａｒｅ　８８．５１％ａｎｄ　８７－２％．ＦＰ　ｒａｔｅｓ　ａｒｅ　１８．１６％ａｎｄ　１５．１１％　ａｎｄ　ＦＮ　ｒａｔｅｓ　ａｒｅ　７．４９％ａｎｄ　１０．３８％，ｒｅｓｐｅｃｔｉｖｅｌｙ．　Ｒｅｆｅｒｅｎｃｅｓ　【ｌ】Ｄａｃｉｅｒ，Ｍ．，ａｎｄＡｌｅｓｓａｎｄｒｉ，Ｄ．　１　９９９．“ＶｕｌＤａ：Ａ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｄａｔａｂａｓｅ．’’　『２１　Ａｌｅｓｓａｎｄｒｉ，Ｄ．２００４．“Ａｔｔａｃｋ－Ｃｌａｓｓ－Ｂａｓｅｄ　Ａｎａｌｙｓｉｓ　ｏｆ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍｓ．”Ａ　ｔｈｅｓｉｓ　ｓｕｂｍｉｔｔｅｄ　ｔ０　Ｓｃｈｏｏｌ　ｏｆ　Ｃｏｍｐｕｔｉｎｇ　Ｓｃｉｅｎｃｅ。Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｎｅｗｃａｓｔｌｅ　ｕｐｏｎ　Ｔｙｎｅ．　【３】　ｘｕ，Ｊ．，ａｎｄ　Ｓｈｅｌｔｏｎ，Ｃ．Ｒ．２０　１　０．“Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｕｓｉｎｇ　Ｃｏｎｔｉｎｕｏｕｓ　Ｔｉｍｅ　Ｂａｙｅｓｉａｎ　Ｎｅｔｗｏｒｋｓ．’’Ｊｏｕｒｎａｌ　ｏｆ　Ａｒｆｆｉｆｃｉａｆ　Ｉｎｔｅｌｌｉｇｅｎｃｅ　Ｒｅｓｅａｒｃｈ３９：７４５—７４．　『４１　ＭＡＦＴＩＡ　Ｃｏｎｓｏｒｔｉｕｍ．　“Ｔｏｗａｒｄｓ　ａ　Ｔａｘｏｎｏｍｙ　ｏｆ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍｓ　ａｎｄ　Ａａａｃｋｓ．”Ｄ．Ａｌｅｓｓａｎｄｒｉ．　ｅｄ．Ｍａｌｉｃｉｏｕｓ．ａｎｄ　Ａｃｃｉｄｅｎｔａ１．Ｆａｕｌｔ　Ｔｏｌｅｒａｎｃｅ　ｆｏｒ　Ｉｎｔｅｒｎｅｔ　Ａｐｐｌｉｃａｔｉｏｎｓ．　［５】Ｄｅｗａｅｌｅ，Ｇ．，Ｆｕｋｕｄａ，Ｋ．，ａｎｄ　Ｂｏｒｇｎａｔ，Ｐ．２００７．　‘‘Ｅｘｔｒａｃｔｉｎｇ　Ｈｉｄｄｅｎ　Ａｎｏｍａｌｉｅｓ　Ｕｓｉｎｇ　Ｓｋｅｔｃｈ　ａｎｄ　Ｎｏｎ－．Ｇａｕｓｓｉａｎ　Ｍｕｌｔｉ－－ｒｅｓｏｌｕｔｉｏｎ　Ｓｔａｔｉｓｔｉｃａｌ　Ｄｅｔｅｃｔｉｏｎ　Ｐｒｏｃｅｄｕｒｅｓ．”Ｉｎ　Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆｔｈｅ　２００７　Ｗｏｒｋｓｈｏｐ　ｏｎ　Ｌａｒｇｅ　Ｓｅａｌｅ　Ａｔｔａｃｋ　Ｄｅｆｅｎｃｅ．１４５—５２．　【６】Ｌａｋｈｉｎａ，Ａ．，Ｃｒｏｖｅｌｌａ，Ｍ．，ａｎｄ　Ｄｉｏｔ，Ｃ．２００５．“Ｍｉｎｉｎｇ　Ａｎｏｍａｌｉｅｓ　Ｕｓｉｎｇ　Ｔｒａ币ｃ　Ｆｅａｔｕｒｅ　Ｄｉｓｔｒｉｂｕｔｉｏｎｓ．”ＡＣ　ｓＩＧＣＯＭＭ　Ｃｏｍｐｕｔｅｒ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｒｅｖｉｅｗ　．　Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　ｔｈｅ　２００５　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ａｐｐｌｉｃａｔｉｏｎｓ，　Ｔｅｃｈｎｏｌｏｇｉｅｓ，Ａｒｃｈｉｔｅｃｔｕｒｅｓ，ａｎｄ　Ｐｒｏｔｏｃｏｌｓ　ｆｏｒ　Ｃｏｍｐｕｔｅｒ　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ　３５：２１　７．２８．　『７１　Ｆｅｄｅｒａｌ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｐｒｏｃｅｓｓｉｎｇ　Ｓｔａｎｄａｒｄｓ　Ｐｕｂｌｉｃａｔｉｏｎ　ｌ９ｌ（ＦＩＰＳ　ＰＵＢ　ｌ９１　．“Ｇｕｉｄｅｌｉｎｅ　ｆｏｒ　ｔｈｅ　Ａｎａｌｙｓｉｓ　Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ　Ｓｅｃｕｒｉｔｙ”．　【８】Ｈｅｉｄａｒｉ，Ｍ．，２００４．Ｍａｌｉｃｉｏｕｓ　Ｃｏｄｅ　ｉｎ　Ｄｅｐｔｈ，ｐｐ．１・２　１．　【９】　Ｆｉｎａｎｃｉａｌ　Ｃｒｉｍｅｓ　Ｅｎｆｏｒｃｅｍｅｎｔ　Ｎｅｔｗｏｒｋ（ＦＣＥＮ），　“Ｍｏ￣ｇａｇｅ　Ｌｏａｎ　Ｆｒａｕｄ”．２００８．　［１０］Ｒａｍａｎ，Ｂ．２００５．Ｃｒｙｐｔｏｇｒａｐｈｙ　ａｎｄ　Ｎｅｔｗｏｒｋ　Ｓｅｃｕｒｉｔｙ，　Ｄｅｐａｒｔｍｅｎｔ　ｏｆ　ＣＳＥ，ｌＩＴ　Ｋａｎｐｕｒ．　『ｌ１　１　Ｆａｒｉａ，Ｄ．２００６．Ｓｃａｌａｂｌｅ　Ｌｏｃａｔｉｏｎ—Ｂａｓｅｄ　Ｓｅｃｕｒｉｔｙ　ｉｎ　Ｗｉｒｅｌｅｓｓ　Ｎｅｔｗｏｒｋｓ　ｋｈａｎ．Ａ　ｄｉｓｓｅｒｔａｔｉｏｎ　ｓｕｂｍｉｔｔｅｄ　ｔｏ　ｔｈｅ　Ｄｅｐａｒｔｍｅｎｔ　ｏｆ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ　ａｎｄ　ｔｈｅ　Ｃｏｍｍｉｔｔｅｅ　ｏｎ　Ｇｒａｄｕａｔｅ　Ｓｔｕｄｉｅｓ　ｏｆ　Ｓｔａｎｆｏｒｄ　Ｕｎｉｖｅｒｓｉｔｙ　ｉｎ　Ｐａｒｔｉａｌ　Ｆｕｌｆｉｌｌｍｅｎｔ　ｏｆ　ｔｈｅ　Ｒｅｑｕｉｒｅｍｅｎｔｓ　ｆｏｒ　ｔｈｅ　Ｄｅｇｒｅｅ　ｏｆ　Ｄｏｃｔｏｒ　ｏｆ　Ｐｈｉｌｏｓｏｐｈｙ．　【１２］Ｇｏｇｏｉ，Ｐ．，Ｂｈａｔｔａｃｈａｒｙｙａ，Ｄ．Ｋ．，Ｂｏｒａｈ，Ｂ．，ａｎｄ　Ｋａｌｉｔａ，Ｊ．　Ｋ．２０１３．“ＭＬＨ—ＩＤＳ：Ａ　Ｍｕｌｔｉ．Ｌｅｖｅｌ　Ｈｙｂｒｉｄ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｍｅｔｈｏｄ．’’Ｔｈｅ　Ｃｏｍｐｕｔｅｒ　Ｊｏｕｒｎａｌ　Ａｄｖａｎｃｅ　Ａｃｃｅｓｓ　ｐｕｂｌｉｓｈｅｄ．　【１３】Ａｉｃｋｅｌｉｎ，Ｕ．，Ｔｗｙｃｒｏｓｓ，Ｊ．，ａｎｄ　Ｒｏｂｅｒｔｓ，Ｔ．Ｈ．２００７．　“Ｒｕｌｅ　Ｇｅｎｅｒａｌｉｚａｔｉｏｎ　ｉｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍｓ　Ｕｓｉｎｇ　ＳＮＯＲＴ．’’Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｊｏｕｒｎａｌ　ｏｆ　Ｅｌｅｃｔｒｏｎｉｃ　Ｓｅｃｕｒｉｙｔ　ａｎｄＤｉｇｉｔａｌＦｏｒｅｎｓｉｃｓ：１０１．１６．　【１４】Ｈｕ，　Ｊ．　２０１０．Ｈｏｓｔ－Ｂａｓｅｄ　Ａｎｏｍａｌｙ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ．Ｓｐｒｉｎｇｅｒ．　【１５］Ｎａｖａｒｒｏ，Ｇ．２０１０．“Ｐａｔｔｅｒｎ　Ｍａｔｃｈｉｎｇ．”　ｅ　Ｃｏｍｐｕｔｅｒ　Ｊｏｕｒｎａｆ　Ａｄｖａｎｃｅ　Ａｃｃｅｓｓ　ｐｕｂｌｉｓｈｅｄ　５８：１．２４．　【１６】Ｂｅｄｄｏｅ，Ｍ．Ａ．２００５．‘＇Ｎｅｔｗｏｒｋ　Ｐｒｏｔｏｃｏｌ　Ａｎａｌｙｓｉｓ　Ｕｓｉｎｇ　Ｂｉｏｉｎｆｏｒｍａｔｉｃｓ　Ａｌｇｏｒｉｔｈｍｓ．’’Ｉｎ　Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　ｔｈｅ　Ｓｅｖｅｎｔｈ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｎｅｔｗｏｒｋ　Ｃｏｎｆｅｒｅｎｃｅ．　［１　７】Ｄｒｅｇｅｒ，Ｈ．，Ｆｅｌｍａｎｎ，Ａ．，Ｍａｉ，Ｍ．，Ｐａｘｓｏｎ，Ｖ．，ａｎｄ　Ｓｏｍｍｅｒ，Ｒ．２００６．“Ｄｙｎａｍｉｃ　Ａｐｐｌｉｃａｔｉｏｎ－Ｌａｙｅｒ　Ｐｒｏｔｏｃｏｌ　Ａｎａｌｙｓｉｓ　ｆｏｒ　Ｎｅｔｗｏｒｋ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ．’’　Ｉｎ　ＵｓＥＮＩＸ－ｓｓ’ｏ６　Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　ｔｈｅ　１５ｔｈ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　ＵｓＥＮＩＸ　Ｓｅｃｕｒｉｔｙ　Ｓｙｍｐｏｓｉｕｍ　［１　８】Ｍｏｎｔｇｏｍｅｒｙ，Ｄ．Ｃ．２００１．Ｉｎｔｒｏｄｕｃｔｉｏｎ　ｔｏ　Ｓｔａｔｉｓｔｉｃａｌ　Ｑｕａｌｉｔｙ　Ｃｏｎｔｒｏ１．４ｔｈ　ｅｄ．，Ｎｅｗ　Ｙｏｒｋ：Ｗｉｌｅｙ，ＮＹ．　【１９】Ｈｏｆｍｅｙｒ，Ａ．，Ｆｏｒｒｅｓｔ，Ｓ．，ａｎｄ　Ｓｏｍａｙａｊｉ，Ａ．１９９８．　“Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｕｓｉｎｇ　Ｓｅｑｕｅｎｃｅｓ　ｏｆ　Ｓｙｓｔｅｍ　Ｃａｌｌｓ．’’　ＪｏｕｒｎａｌＤ厂ＣｏｍｐｕｔｅｒＳｅｃｕｒｉｔｙ６：１５１．８０．　【２０】Ｌｅｕｎｇ，Ｊ．２００８．“Ｖｕｌｎｅｒａｂｉｌｉｖｙ　Ｍａｎａｇｅｍｅｎｔ—Ａ　Ｇｕｉｄｅ　ｔｏ　Ｍａｎａｇｉｎｇ　Ｉｎｔｅｍａｌ　ａｎｄ　Ｅｘｔｅｒｎａｌ　Ｔｈｒｅａｔｓ．”　［２　１】Ｔａｎｄｏｎ，Ｇ．，ａｎｄ　Ｃｈａｎ，Ｐ．Ｋ．２００５．“Ｍｏｄｅｌｌｉｎｇ　Ｍｕｌｔｉｐｌｅ　Ｔｉｍｅ　Ｓｅｒｉｅｓ　ｆｏｒ　Ａｎｏｍａｌｙ　Ｄｅｔｅｃｔｉｏｎ．’’Ｐｒｅｓｅｎｔｅｄ　ａｔ　ｔｈｅ　Ｆｌｏｒｉｄａ　Ａｒｔｉｆｉｃｉａ１　Ｉｎｔｅｌｌｉｇｅｎｃｅ　Ｒｅｓｅａｒｃｈ　Ｓｏｃｉｅｔｙ　Ｃｏｎｆｅｒｅｎｃｅ．　【２２］Ｙｅ，Ｎ．，Ｅｍｒａｎ，Ｓ．Ｍ．，Ｃｈｅｎ，Ｑ．，ａｎｄ　Ｖｉｌｂｅｒｔ，Ｓ．２００２．　“Ｍｕｌｔｉｖａｒｉａｔｅ　Ｓｔａｔｉｓｔｉｃａ１　Ａｎａｌｙｓｉｓ　ｏｆ　Ａｕｄｉｔ　Ｔｒａｉｌｓ　ｆｏｒ　Ｈｏｓｔ—ｂａｓｅｄ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ．’’Ｔｒａｎｓａｃｔｉｏｎｓ　ｏｆ　Ｃｏｍｐｕｔｅｒｓ　５１：８１０—２０．　【２３】Ｐｐｏｒｒａｓ，Ｐ．，Ｓｃｈｎａｃｅｎｂｅｒｇ，Ｄ．，Ｃｈｅｎ，Ｓ．Ｓ．，Ｓｔｉｌｌｍａｎ，Ｍ．，　ｎａｄ　Ｗｕ．Ｆ．１　９９８．“Ｔｈｅ　Ｃｏｍｍｏｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｆｒａｍｅｗｏｒｋ　Ａｒｃｈｉｔｅｃｔｕｒｅ．’’　【２４】Ｓｕｎ，Ｚ．，Ｋａｕｃｉｃ，Ｒ．，Ｍｅｎｄｏｃａ，Ｐ．，ａｎｄ　Ｃａｎ，Ａ．２００７．“Ａ　Ｓｔａｔｉｓｔｉｃａｌ　Ａｐｐｒｏａｃｈ　ｔｏ　Ｉｎｄｕｓｔｒｉａｌ　ＡｎｏｍａｌＹ　Ｄｅｔｅｃｔｉｏｎ．’’　】．９．　１５４　Ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　ａｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　ｕｎｄｅｒ　Ｄｉｆｅｒｅｎｔ　Ｔｅｃｈｎｉｑｕｅｓ　［２５］　Ａｌｔｗａｊｒｙ，Ｈ．，ａｎｄ　Ａｌｇａｒｎｙ，Ｓ．２０　１　１．‘＇Ｍｕｌｔｉ－Ｌａｙｅｒ　Ｂａｙｅｓｉａｎ　Ｂａｓｅｄ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ．”　Ｉｎ　Ｆｅａｔｕｒｅｓ　Ｓｅｌｅｃｔｉｏｎ　ｆｏｒ　Ｄｅｔｅｃｔｉｎｇ　Ｎｅｔｗｏｒｋ　Ｉｎｔｒｕｓｉｏｎｓ．’’　Ｐｒｅｓｅｎｔｅｄ　ａｔ　ｔｈｅ　Ｉｎｔｅｍａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｆｏｒ　Ｉｎｔｅｍｅｔ　Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆｔｈｅ　Ｗｏｒｍ　Ｃｏｎｇｒｅｓｓ　ｏｎ　Ｅｎｇｉｎｅｅｒｉｎｇ　ａｎｄ　Ｃｏｍｐｕ￣ｒ　Ｓｃｉｅｎｃｅ．　Ｔｅｃｈｎｏｌｏｇｙ　ａｎｄ　Ｓｅｃｕｒｅｄ　Ｔｒａｎｓａｃｔｉｏｎｓ　ＩＣＩＴＳＴ．　【２８］Ｂｈｏｒｉａ，Ｐ．，ａｎｄ　Ｇａｒｇ，Ｋ．２０　１　３．“Ｄｅｔｅｒｍｉｎｉｎｇ　Ｆｅａｔｕｒｅ　Ｓｅｔ　ｏｆ　ＤＯＳ　Ａｔｔａｃｋｓ．”ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｊｏｕｒｎａｌ　ｏｆ　Ａｄｖａｎｃｅｄ　Ｒｅｓｅａｒｃｈ　ｉｎ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ　ａｎｄ　Ｓｏｆｔｗａｒｅ　ｌ￣ｒｎｇｍｅｅｒｉｎｇ．　，ａｎｄ　Ｋｕｍａｒ，Ｖ．２００９．“Ａｎｏｍａｌｙ　Ｄｅｒｅｃｔｉｏｎ：　【２６】　Ｃｈａｎｄｏｌａ，Ｖ．Ａ　Ｓｕｒｖｅｙ．’’ＡＣＭＣｏｍｐｕ￣ｎｇＳｕｒｖｅｙｓ（ＣＳＵＲ）４１：１－７２．　，Ｗ．，Ａ．，ａｎｄ　Ｎａｏｕｍ，Ｒ．２００９．‘‘Ｓｉｇｎｉｆｉｃａｎｔ　ｏｆ　【２７］　Ｓｈａｒａｆａｔ

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文